La gouvernance IA est souvent abordée par le haut : politique d'usage, charte interne, conformité RGPD, formation des équipes. Tout cela est utile et nécessaire. Mais il manque presque toujours une dimension : la gouvernance du contexte qui alimente réellement les assistants IA au quotidien.
Un assistant IA peut être parfaitement conforme aux chartes internes et aux exigences légales, et rester opérationnellement peu fiable. Si les sources qu'il consulte sont obsolètes, contradictoires ou mal hiérarchisées, la qualité des réponses ne suit pas. Ce n'est pas un problème de modèle – c'est un problème de gouvernance des données et des documents à la source.
Ce que gouverner le contexte signifie vraiment
Quand on parle de gouvernance IA, on pense rarement à la chaîne de production du contexte. Pourtant, c'est là que se joue la fiabilité réelle d'un système IA en production.
Gouverner le contexte, c'est répondre à quatre questions pratiques :
- Autorité : quelles sources font foi pour répondre à quelle catégorie de question ? Dans une organisation, il existe souvent des versions concurrentes d'une même information. La gouvernance définit laquelle prime.
- Fraîcheur : comment les documents obsolètes sont-ils retirés ou invalidés ? Les mises à jour de procédures, règlements ou politiques internes doivent se refléter automatiquement dans le corpus de l'IA.
- Traçabilité : peut-on retrouver, pour une réponse donnée, quelles sources l'ont générée et à quelle date ? C'est une exigence d'audit dans les secteurs réglementés, et un filet de sécurité dans tous les autres.
- Responsabilité : qui dans l'organisation pilote l'amélioration continue du corpus ? Sans propriétaire clairement désigné, le contexte se dégrade progressivement et la qualité de l'IA avec lui.
ISO 42001 et la gouvernance des systèmes IA
La norme ISO 42001, publiée en 2023, est le premier cadre international de management des systèmes IA. Elle s'inspire de la structure d'ISO 27001 (sécurité de l'information) et couvre le cycle de vie des systèmes IA : conception, déploiement, surveillance, amélioration continue.
Parmi ses exigences clés : la documentation des décisions de conception, la gestion des risques liés aux données d'entraînement et de fonctionnement, et la démonstration que le système IA répond aux objectifs déclarés. Pour une organisation qui utilise des LLMs en production avec des données internes, cela implique directement de gouverner les sources que le système consulte – pas seulement les politiques d'accès en amont.
À ce jour, peu d'entreprises ont engagé une démarche ISO 42001 formelle, mais ses principes offrent un cadre utile même sans certification.
Les rôles à clarifier dès le départ
Une gouvernance IA durable repose sur une clarification des rôles – ce qu'on appelle souvent un RACI (Responsible, Accountable, Consulted, Informed) dans les projets. En pratique, quatre rôles sont nécessaires :
- Le propriétaire du corpus : la personne ou l'équipe responsable de la qualité, de la pertinence et de la mise à jour des sources documentaires. C'est souvent un rôle métier, pas technique.
- L'administrateur technique : l'équipe IT ou data qui gère les pipelines d'ingestion, les index et les configurations d'accès. Elle traduit les décisions de gouvernance en règles système.
- Le responsable qualité IA : un rôle transverse qui surveille les métriques de qualité des réponses, détecte les dérives et remonte les signaux aux propriétaires de corpus. Dans les petites organisations, ce rôle peut être porté par une seule personne à temps partiel.
- Le sponsor décisionnel : le dirigeant ou manager senior qui arbitre les conflits d'autorité entre sources (« quelle version de la procédure est la bonne ? ») et qui engage l'organisation dans les mises à jour nécessaires.
Le change control pour le contexte IA
Dans les systèmes IT classiques, toute modification d'un système de production passe par un processus de change control : demande formelle, évaluation de l'impact, validation, déploiement en environnement de test, mise en production. Ce principe s'applique directement aux corpus IA.
Quand une nouvelle version d'une politique interne est publiée, elle ne devrait pas être ajoutée au corpus IA sans validation : l'ancienne version doit être invalidée, les index mis à jour, et l'impact sur les réponses vérifié. Sans ce processus, le corpus devient progressivement incohérent – et l'IA produit des réponses qui mêlent des informations de différentes époques.
La gouvernance du contexte dans la pratique : à quel moment s'en préoccuper ?
Pour les organisations qui débutent avec l'IA, la gouvernance du contexte peut sembler prématurée. C'est une erreur fréquente. Plus tôt les pratiques de gouvernance sont établies, moins il est coûteux de les appliquer. Il revient très cher de reprendre en main un corpus mal gouverné après 18 mois d'usage.
Un point de départ pragmatique : faire l'inventaire des sources documentaires que vos usages IA consultent, identifier qui est propriétaire de chaque source, et définir une fréquence de révision minimale. C'est peu exigeant initialement, et c'est suffisant pour éviter les dérives les plus fréquentes.
Conclusion
La gouvernance IA ne se limite pas à la conformité légale ou aux politiques d'accès. Elle commence par la qualité des sources documentaires qui alimentent vos systèmes. Définir les propriétaires, les règles d'autorité, les processus de mise à jour et les métriques de qualité : c'est le travail que la plupart des organisations n'ont pas encore commencé – et qui détermine pourtant la fiabilité réelle de leur IA.