-
L'intégration des systèmes d’intelligence artificielle : comment mesurer son ROI ?
L’adoption de l’intelligence artificielle dans les entreprises soulève des questions juridiques complexes. Le règlement sur l’Intelligence Artificielle (RIA ou AI Act) impose des obligations spécifiques selon le niveau de risque des systèmes d’IA. Les IA à haut risque, notamment celles utilisées dans les processus de recrutement ou d’évaluation des employés, devront respecter des exigences strictes en matière de transparence, de supervision humaine et de documentation des « décisions » prises.
Mais la conformité n’est pas le seul enjeu de l’intégration des outils d’IA qui sont déjà largement adoptés par les salariés dans de nombreuses entreprises. Les DSI sont donc confrontés souvent à des usages non encadrés des IA génératives ce qui peut être source de risque pour la confidentialité de données parfois sensibles ou stratégiques.
Pour pallier ces risques, les DSI décident souvent d’intégrer des outils d’IA parfois de manière contrainte afin que les salariés utilisent des outils choisis par l’entreprise et respectant ainsi leur politique de sécurité et de confidentialité. Toutefois, face au déferlement des IA génératives notamment, il convient de rester vigilant sur la négociation et la contractualisation avec les prestataires. En effet, il est essentiel de prévoir un cahier des charges précis mais aussi des indicateurs de performance et des niveaux de services bien définis et adaptés aux métiers de l’entreprise. Le fait que le système d’intelligence artificielle soit un outil probabiliste ne doit pas le dispenser d’obtenir certains résultats. De nombreux indicateurs peuvent être intégrés au sein du contrat avec l’éditeur visant à mesurer les niveaux de services attendus (taux d’hallucination, temps de réponse, pertinence des réponses, etc.).
Une autre des précautions liées à l’usage croissant des outils d’intelligence artificielle générative vise à encadrer leur utilisation par une véritable politique RH impliquant une charte d’utilisation des systèmes d’IA qui soit contraignante et à l’image de ce qui peut être fait pour les autres outils.
Enfin, pour les salariés ayant des missions que l’on pourrait qualifier d’inventives (design, marketing, développement informatique) il convient d’être particulièrement vigilant sur les droits de propriété intellectuelle des contenus générés par une IA. En effet, le sort de ces contenus n’a toujours pas été tranché par une juridiction française de sorte qu’il existe un aléa sur les droits de propriété intellectuelle associés à ces contenus. Au regard des décisions étrangères, il semblerait que l’on se dirige vers une dévolution des droits à l’auteur du prompt sous réserve qu’il soit suffisamment précis et détaillé pour considérer que l’IA a assisté le créateur. Rien n’étant moins sûr en l’état, l’usage des outils d’IA pour ce type de mission doit être utilisé avec prudence.
2. La cybersécurité : une responsabilité accrue des DSI
Les entreprises doivent aujourd'hui faire face à des cyberattaques de plus en plus sophistiquées et facilitées par le développement de l’intelligence artificielle. Face à ce constat, les textes récents imposent une sécurisation renforcée des infrastructures numériques, sous peine de sanctions lourdes et notamment pour certains secteurs d’activités particulièrement sensibles.
La directive NIS 2 impose ainsi aux entreprises de secteurs critiques (énergie, transports, santé, services financiers, etc.) d’adopter des mesures de cybersécurité strictes et de notifier les incidents de sécurité dans des délais restreints. L’article 21 impose ainsi une liste de mesures précises pour ces acteurs notamment sur la continué des activités, la sécurité de la chaine d’approvisionnement et les solutions d’authentification à plusieurs facteurs.
Le règlement DORA, quant à lui, vise spécifiquement le secteur financier en imposant une résilience opérationnelle numérique renforcée, incluant des tests réguliers de sécurité et une surveillance accrue des prestataires de services informatiques ainsi qu’une notification à l’ARCEP en moins de 24h en cas d’incident de sécurité majeur.
D’autres dispositifs entreront également en application dans les prochaines années et il conviendra pour chaque DSI de suivre régulièrement ces évolutions (Cyber Resilience Act, Cyber Solidarity Act notamment). D’un point de vue opérationnel, ces exigences contraignent les DSI à mettre en place des politiques de gestion des risques robustes, impliquant :
• Une cartographie détaillée des risques cybersécurité couvrant l’ensemble des infrastructures IT et des flux de données ;
• La mise en place de protocoles stricts de réponse aux incidents, avec des délais définis pour la détection, l'analyse, la notification aux autorités pertinentes et la remédiation ;
• Une surveillance active des vulnérabilités grâce à des audits internes et des tests d’intrusion réguliers ;
• L’intégration de clauses spécifiques dans les contrats avec les prestataires IT, imposant des obligations de cybersécurité renforcées et des garanties en matière de continuité d’activité.
Au niveau juridique, les DSI devront anticiper une refonte complète des contrats avec les différents prestataires IT afin de se conformer à ces nouvelles réglementations qui instaureront un cadre plus favorable au DSI au regard des mesures que devront prendre ces prestataires.
3. Les données : une gouvernance réglementée
La gestion des données ne se limite plus à la conformité au RGPD. Les nouvelles réglementations européennes, comme le Data Governance Act (DGA) et le Data Act, redéfinissent les règles de partage et d’exploitation des données, notamment en imposant des obligations de transparence et de contrôle accrues.
Le DGA introduit un cadre pour la gestion des intermédiaires de données et impose aux entreprises de structurer la manière dont elles partagent les données avec d’autres acteurs, notamment dans des secteurs réglementés comme la santé. Le Data Act, quant à lui, renforce les droits des utilisateurs sur leurs données et impose des règles sur l’accès aux données générées par les objets connectés.
Pour les DSI, cela implique notamment :
• Une obligation de documenter l’ensemble des traitements de données afin de garantir leur traçabilité et leur conformité aux nouvelles exigences réglementaires ;
• Une possibilité d’accéder à certaines données issues des produits connectés utilisés au sein de l’entreprise et leurs services annexes;
• Une possibilité de transmettre à des tiers certaines données rendues accessibles par le Data Act sous certaines conditions.
Ces deux règlements ouvrent et encadrent le marché de la donnée en créant de nombreux droits aux utilisateurs de ces données et donc de nouvelles obligations aux fournisseurs ou fabricants de données.
Cette réglementation permet ainsi aux DSI de pouvoir mieux maitriser les flux de données entrants et sortants de son organisation et d’accéder à un plus grand nombre de données. Ainsi, il peut mieux comprendre les pratiques de l’entreprise, mieux mesurer la pertinence de ses outils mais aussi renforcer le dispositif de sécurité du système d’information.
4. La gestion des projets ERP : un défi constant et toujours instable
Le déploiement d’un nouvel ERP est un projet stratégique, mais souvent source de dérives budgétaires et de retards même en 2025. En effet, selon le Standish Group, 70% des projets informatiques connaissent des dérives calendaires et/ou budgétaires. Ce nombre pourrait être encore plus important concernant les projets de nouveaux ERP qui nécessitent une gestion particulièrement rigoureuse. De nombreux litiges émergent en raison d’un manque de précision dans les contrats, d’objectifs ainsi que de méthodologie mal définis au départ.
Pour éviter ces écueils, les DSI doivent :
• Établir un cahier des charges exhaustif avec un détail des fonctionnalités attendues et des indicateurs de performance précis et mesurables ;
• Intégrer des délais impératifs assortis de pénalités pour tout retard non justifié du prestataire ;
• Définir des indicateurs précis de niveau de service (SLA), avec des mesures objectives permettant d’évaluer la qualité du service rendu ;
• Assurer un suivi rigoureux de la mise en œuvre avec des jalons et des points de contrôle réguliers, assortis de clauses de sortie en cas de manquement grave ;
• Sécuriser juridiquement les phases critiques : rédaction de clauses de réversibilité en cas d’échec du projet, mise en place d’audits contractuels et documentation des dysfonctionnements.
Néanmoins, de nombreux projets sont actuellement à la dérive ou connaitront des dérives en 2025. Les DSI sont souvent désemparés face à une situation qui semble inextricable. En effet, manifester une perte de confiance auprès du prestataire ou suspendre le projet peut sembler préjudiciable pour l’ensemble des parties qui paraissent liés jusqu’au bout du projet.
Pour autant, il est toujours possible de recadrer un projet à la dérive si le prestataire est de bonne foi et qu’il dispose des ressources nécessaires. A défaut, la recherche d’une indemnisation peut souvent être une solution notamment si le prestataire a manqué à son obligation de conseil et de mise en garde à propos de laquelle les juges se montrent particulièrement sévères.
Dans tous les cas, dans la mesure où il est rare qu’un projet d’ERP se recadre de lui-même, la constitution de preuves est essentielle afin d’établir un dossier de griefs précis et étayé (mails, comptes-rendus de comité de pilotage, factures, etc.). Une erreur fréquente des entreprises est de ne pas préparer suffisamment tôt un dossier de griefs structuré, rendant plus difficile l’établissement d’un constat partagé de l’état du projet afin de définir de manière négociée les remèdes à y apporter, et à défaut toute action ultérieure contre le prestataire en cas de manquement caractérisé et de refus d’y remédier.
