Bien avant le tournant de l’IAG, Numalis, deeptech française d’édition de logiciels, définissait déjà les standards de déploiement de l’IA, notamment au sein des secteurs critiques. Arnault Ioualalen, son président et ambassadeur pour le plan national « Osez l’IA », livre les clés d’une gouvernance limpide et compétitive.

Décideurs. Numalis opère principalement auprès des OIV (Opérateur d’importance vitale), qui ont pris le virage de l’IA il y a déjà quelques années. Quels sont les trois éléments clés pour réussir le déploiement de l’intelligence artificielle ?

Arnault Ioualalen. Pour une entreprise, prétendre augmenter la productivité grâce à l’IA exige de se doter d’une gouvernance structurée. Cela demande évidemment des adaptations. Il peut être question d’excellence organisationnelle dès lors qu’une entreprise met en place un management des risques, un management de la qualité, un management de l’IA. C’est la seule manière d’en tirer les bénéfices, en évitant d’investir des sommes qui n’amélioreront pas la productivité des business units. Il est tentant de penser qu’il suffit de jeter des objets IA dans la foule pour qu’elle s’en empare et devienne d’un coup extrêmement douée et hyper productive. Malheureusement, c’est une fable. L’IA s’apprend, d’où le principe d’« AI literacy » [l’« alphabétisation à l’IA », ndlr]. Une fois que l’organisation s’est munie d’un cadre, que le référent IA connaît tant l’appétence au risque de sa direction que le périmètre des différents outils et que les employés sont formés pour pratiquer de l’IA en confiance, il faut déterminer si celle que l’entreprise développe est sécurisée.

Comment s’assurer que la solution déployée est bien sécurisée ?

Il faut beaucoup tester ses outils et, surtout, prouver leur efficacité. Toute gouvernance doit documenter ses risques relatifs à l’IA. Celles dont les applications relèvent de systèmes critiques doivent investir dans des outils de preuve mathématique. Ces outils-là permettent d’atteindre les niveaux de preuve les plus exigeants, qui correspondent à ceux demandés par des industries aéronautique ou nucléaire. La criticité de ces applications exige une preuve mathématique « par A + B », attestant que le système fonctionne comme il se doit. Avec ces preuves, il est mathématiquement sûr que le système va bien faire ce qu’il est censé faire. Obtenir des preuves formelles de la robustesse et de l’explicabilité des décisions des modèles reste le cœur historique de Numalis. Ce savoir-faire autour des preuves formelles, développé auparavant au sein du secteur de l’aéronautique, nous le transposons aujourd’hui au secteur de l’IA, en mobilisant notre R&D pour créer des outils qui permettent de démontrer la fiabilité de systèmes d’intelligence artificielle.

L’AI literacy s’avère un facteur crucial de succès. Comment les entreprises peuvent-elles cibler les besoins en formation des employés ?

En dépit des formations ou encore des cursus académiques portant sur l’IA, il n’existait aucun référentiel commun permettant à un employeur de jauger la place de son organisation et de ses employés en matière d’usage de l’IA. Sont-ils peu ou pas assez formés ? Où le sont-ils ? Conscients du sujet, nous avons travaillé à la rédaction d’un standard, l’AICET, en partenariat avec l’Afnor, de grandes universités, France Travail et des industriels majeurs. L’AICET définit une méthodologie d’évaluation de la compétence en IA des individus. La mise en pratique de cette stratégie d’évaluation et de pilotage, proposée par Numalis, dresse un état des lieux à l’échelle de l’entreprise au prisme de chaque collaborateur. Les disparités sont grandes : certains utilisent très bien ChatGPT sans formation, sur leur temps libre ou chaque jour, d’autres jamais. D’autres encore y ont recours en autodidacte et pourraient être en mesure de former leurs collègues. Forte de cette lecture fine, l’entreprise pourra rehausser le niveau global et mettre en place des plans de formation ciblés pour aider chacun à adopter en confiance des outils d’intelligence artificielle.

"L’IA s’apprend, d’où le principe d’AI literacy"

Au-delà de l’aspect de management des compétences, l’AICET présente une dimension éthique. L’idée reçue selon laquelle l’IA va remplacer les employés persiste. C’est pour cette raison que certains collaborateurs demeurent réticents à l’idée de l’utiliser. L’enjeu est de les rassurer en fournissant un effort d’éducation. L’AICET permet à tout collaborateur de s’autoévaluer, de cerner les sujets non maîtrisés ou méconnus pour s’y intéresser avec objectivité. La dynamique d’auto-apprentissage permet de se familiariser avec la technologie et peut-être aussi de la démystifier.

Pour des entreprises de taille moyenne, quelle serait la première étape pour prendre en main sa gouvernance IA ?

La transformation ne peut avoir lieu que si la direction soutient l’impulsion. Sans validation des instances dirigeantes, un responsable IA mal encadré risque de diffuser des pratiques de Shadow IA, d’utilisation d’outils sans autorisation de l’entreprise, alors qu’il ne cherche qu’à sensibiliser ses collègues. La maîtrise de cette technologie commence par la définition du périmètre d’expérimentation et d’usage par le management. Où se situe l’appétit pour le risque de l’entreprise ? Il faut le mesurer pour mobiliser les outils — méthodologiques et de formation — qui seront autorisés par la direction au bénéfice des opérationnels. Ce sont là les conditions du succès.

Monter en compétence sur l’IA signifie aussi que les différentes directions d’une entreprise pourraient challenger les livrables relatifs à l’IA ou obtenus avec elle. Est-ce déjà le cas ?

Il est encore un peu tôt pour le dire. L’IA a déferlé sur le marché. En quelques années, le nombre d’« experts IA » s’est démultiplié sur LinkedIn. Ce bruit dans l’écosystème repose moins sur une compréhension ou une démonstration que sur des arguments marketing. Au-delà des promesses — et il faut espérer qu’elles pourront être tenues une fois le déploiement effectué —, il faut pouvoir démontrer la performance des outils. Cela passe autant par une validation poussée et documentée des outils IA que par la connaissance de ce qu’il est envisageable de demander au marché. Par exemple, en appel d’offres, une direction IA pourrait demander des détails sur la validité de certaines modélisations d’une supply chain à un fournisseur potentiel. De concert avec la direction des achats, elle pourrait mener un questionnement sur la manière dont les données ont été collectées, leur degré de fiabilité, etc.

Quand estimez-vous que les différents membres du comex pourraient être en mesure de scruter des offres où s’intègre de l’IA ?

La demande grandit. Les fournisseurs commencent à fournir les preuves de ce qu’ils avancent. Il ne suffit plus de dire. Depuis plusieurs années, des initiatives pour définir des labels, des chartes, des standards et des certifications fleurissent. Les entreprises souhaitent clarifier les offres, organiser une hiérarchie entre les top sellers et ceux dont les technologies restent moins abouties. Un horizon de temps sur l’élaboration et la diffusion de tels standards dépend du nombre de nouvelles disruptions en IA. Sur les talons de l’IA générative s’est lancée l’IA agentique. Chaque nouvelle disruption relance le marché. Les cadres de certification, s’ils sont difficiles à établir, devraient être mis en œuvre avant la fin de la décennie, a priori vers 2028-2029. Dès lors que le golden standard et les organismes certificateurs en mesure de le délivrer seront instaurés, le marché sera d’autant mieux aiguillé et le discours ambiant assaini.

"Les entreprises souhaitent clarifier les offres, organiser une hiérarchie entre les top sellers et [les autres]"

Beaucoup d’entreprises disent souffrir de la complexité du cadre réglementaire, y compris de l’AI Act. Qu’en pensez-vous ?

Je m’inscris en faux contre cette idée que l’innovation serait freinée par un cadre trop contraignant. Aujourd’hui, l’AI Act propose un cadre où l’intelligence artificielle peut être intégrée au sein de systèmes à haut risque si certains minimums sont garantis. Selon les réglementations précédentes, intégrer l’IA à un train ou dans une centrale nucléaire était strictement interdit. Au contraire, avec l’AI Act, le législateur européen élargit le champ des possibles. Le but d’un objet juridique comme l’AI Act est de rester robuste. Des concepts clés, volontairement intemporels, cernent les applications de toutes les technologies et de leurs évolutions, sans en cibler une en particulier. Au fil des avancées, les standards qui implémentent cette législation évoluent. Les entreprises, néanmoins, restent dans les clous du cadre fixé par le législateur. L’industrie, malgré les ballottements des technologies, converge dans la même direction. Le cadre favorise donc une forme de stabilité, de visibilité et de prédictibilité en dépit d’un quotidien incertain.

"L’AI Act ne sert qu’à poser un cadre. Ce sont les standards qu’il faut lire" 

Ceci dit, l’AI Act ne sert qu’à poser un cadre. Ce sont les standards qu’il faut lire. Il faut par exemple que l’IA soit robuste, mais qu’est-ce que la robustesse ? Définir ces notions incombe aux standards. C’est un travail que Numalis fait à l’ISO déjà depuis huit ans. Nos standards décrivent ce qu’est la robustesse de l’IA, comment la mesurer, comment s’en assurer, et déterminent les paramètres attenants. De sorte que l’exigence un peu nébuleuse de la loi se transpose en un objet technique mesurable avec des outils, des processus, des documentations à remplir — des éléments factuels qu’un ingénieur peut prendre en main et appliquer comme une recette de cuisine.

L’AI Act est souvent comparé au RGPD. Dans quelle mesure cette analogie est-elle pertinente ?

Entre la portée de l’AI Act et celle du RGPD, une nuance s’impose. N’importe quelle organisation, quelle que soit sa taille, manipule plus ou moins des données personnelles. De plus, le RGPD reste globalement un objet juridique. Les éléments techniques, du type politique de cookies, n’y changent pas grand-chose. Ainsi, c’est surtout une direction juridique qui va s’en emparer. L’AI Act, en revanche, est plutôt un objet technique, complexe, qui se focalise en priorité sur les systèmes à haut risque, une part minime du marché. À l’inverse, il est beaucoup plus aisé de se mettre en conformité avec celui-ci pour les cas d’usage non risqués.

L’AI Act appelle à régir des processus et de la documentation relatifs à des systèmes informatiques conçus par des ingénieurs. Le juridique doit faire le lien entre la maîtrise des risques de l’entreprise, sa gouvernance et l’objet technique d’entraînement d’une IA sur une base de données, sur un GPU. La direction technique, la direction SI sur les aspects de cybersécurité et la direction juridique devront s’aligner. Les standards montrent justement l’articulation entre les différentes directions par le biais de la documentation : ce que fournit chacun, les preuves formelles qui transitent d’un département à un autre, notamment en matière de robustesse.

La crainte d’être remplacé plane autour de l’intelligence artificielle. La partagez-vous ?

Honnêtement, je n’y crois pas. À court terme, des dirigeants ont pu penser que cela coûterait moins cher de remplacer un poste par une IA, et que l’entreprise y gagnerait en marge ou en compétitivité sur le prix. C’est une erreur stratégique. Le vrai virage consiste à savoir upskiller largement et massivement toutes les équipes dans toutes les directions, pour que l’entreprise reste dans la course. Toutes les industries doivent s’en rendre compte et mettre les bouchées doubles sur la structuration de l’IA en interne, en instaurant une gouvernance, en articulant du haut vers le bas, en trouvant le point d’équilibre entre les besoins et la formation pour se mettre en condition d’adoption.

Demain, les dirigeants vont se rendre compte qu’ils ont encore plus à gagner en équipant un humain d’une IA qu’en le remplaçant par une IA. L’entreprise qui a supprimé des postes à la faveur d’IA sera moins compétitive que l’entreprise qui a combiné des IA avec ses humains. À long terme, celle qui a supprimé les postes est perdante. Le temps de récupérer les humains et de les former, son retard n’aura fait que s’aggraver.

Propos recueillis par Alexandra Bui

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Commander