Votre organisation a une politique IA. Mais savez-vous si quelqu'un la suit ?
Une politique IA sur papier ne pilote pas les comportements. Comment l'article 4 de l'EU AI Act et la formation en littératie en IA comblent le fossé, avec un rythme de contrôle concret.

La plupart des organisations que je rencontre disposent aujourd'hui d'une forme de politique IA. Une note, une directive, un paragraphe dans la politique de sécurité de l'information. Dûment approuvée, soigneusement archivée. Et c'est souvent là que l'histoire s'arrête. Car entre ce document et ce qui se passe le lundi matin au guichet, au service études ou sur le terrain, il y a un fossé. La question que presque personne ne pose : savez-vous si vos collaborateurs respectent cette politique ? Et la comprennent-ils vraiment ?
Ce que le panel de l'ONU a constaté le 1er juillet 2026
Le 1er juillet 2026, le panel de l'ONU composé de quarante experts internationaux en IA a présenté son premier rapport, sous la direction de Yoshua Bengio, lauréat du prix Turing, et de Maria Ressa, lauréate du prix Nobel de la paix. Ce rapport a alimenté le premier dialogue mondial sur la gouvernance de l'IA, les 6 et 7 juillet 2026 à Genève.
Deux constats ressortent. Un : il existe déjà plus de quarante cadres et lignes directrices sur l'IA dans le monde, mais ils sont fragmentés, incohérents et rarement évalués sur la seule question qui compte : fonctionnent-ils ? Deux : les décideurs politiques font face à ce que le panel appelle le dilemme de la preuve. Il faut des connaissances fiables pour bien réguler l'IA, mais le temps que ces connaissances existent, la technologie a déjà pris de l'avance.
Cela concerne les États et les traités, pas votre organisation. Mais le schéma sous-jacent est étrangement familier : rédiger des cadres sans jamais vérifier s'ils fonctionnent.
Le même schéma, plus près de chez vous
Dans beaucoup d'organisations, la politique IA est exactement ce type de cadre : rédigée, approuvée, puis plus jamais confrontée à la pratique. Personne ne sait si les collaborateurs la connaissent. Personne ne sait s'ils la suivent. Personne ne sait si elle correspond encore aux outils réellement utilisés entre-temps.
Et le terrain connaît sa propre version, plus modeste, de ce dilemme de la preuve. Quand votre politique a été rédigée, une bonne partie des fonctions d'IA que vos collaborateurs utilisent aujourd'hui n'existait pas encore. La ou le collègue qui a découvert le mois dernier que le traitement de texte peut désormais « réfléchir avec vous » n'a pas ressorti votre note à ce moment-là. L'IA n'entre plus uniquement par les marchés publics, où vous pouvez lui imposer des exigences. Elle est aussi intégrée dans les logiciels déjà en place et elle évolue plus vite que n'importe quel document.
Une politique sur papier ne pilote pas les comportements. Ce sont les personnes qui le font, quand elles comprennent ce qu'elles utilisent et pourquoi il y a des limites.
Pourquoi un meilleur document ne suffit pas
Le réflexe est prévisible : durcir la politique, rédiger une version 2.0, ajouter encore une annexe. Une politique claire et pratique a de la valeur, comprenez-moi bien. Mais elle ne résout pas le problème de fond. Le fossé n'est pas dans le texte. Le fossé est entre le texte et les personnes.
Le panel de l'ONU a pointé un phénomène comparable à l'échelle mondiale : beaucoup d'évaluations de sécurité de l'IA sont aujourd'hui réalisées par les entreprises qui construisent les systèmes. Les organisations, de leur côté, se fient souvent aveuglément à ce que leur fournisseur de logiciels qualifie de « sûr ». Si la seule partie qui comprend ce que fait un outil d'IA est le fournisseur, alors votre politique est une signature au bas du devoir de quelqu'un d'autre.
L'Union européenne l'a vu aussi. Ce n'est pas un hasard si la littératie en IA figure tout au début de l'EU AI Act : l'article 4 demande aux organisations qui fournissent ou utilisent de l'IA de prendre des mesures pour développer la littératie en IA de leurs collaborateurs et des personnes qui travaillent avec des systèmes d'IA pour leur compte. La loi n'exige pas un niveau de connaissances garanti par individu. Elle exige des mesures démontrables, adaptées au rôle, à l'expérience et au contexte d'utilisation. Pas un exercice sur papier donc, mais une obligation pratique que vous devez remplir de manière démontrable. C'est logique : qui ne comprend pas ce qu'un modèle de langage peut et ne peut pas faire ne peut pas respecter une politique qui porte là-dessus.
Ce qui comble vraiment le fossé : la littératie en IA dans la pratique
Trois choses, dans cet ordre.
Sachez ce qui est utilisé. Pas ce qui a été acheté, mais ce qui est réellement utilisé. Y compris l'IA embarquée dans les logiciels existants et les outils que les collaborateurs ont trouvés eux-mêmes. Un inventaire simple des outils, qui reçoit une demi-heure d'attention chaque trimestre, suffit.
Veillez à ce que les personnes comprennent avec quoi elles travaillent. Ce n'est pas une journée d'étude sur les réseaux neuronaux. Ce sont des connaissances de base : que peut faire cet outil, que ne peut-il pas faire, quelles informations peuvent y entrer et lesquelles jamais. Une formation en littératie en IA ne doit pas être lourde. Elle doit surtout avoir lieu, pour toute personne en contact avec l'IA. Et testez la compréhension, pas la lecture : un court test de connaissances en dit plus qu'une signature au bas de la note.
Confrontez la politique à la pratique, selon un rythme fixe. Concrètement : vérifiez chaque trimestre si la politique correspond encore à ce que les collaborateurs utilisent réellement. Actualisez l'inventaire des outils, examinez quelques productions réelles où l'IA est intervenue, mettez en place un point de signalement accessible pour les incidents et les cas de doute, sans culture du blâme, et consignez deux fois par an, lors d'une courte réunion avec la direction, ce qui doit être ajusté. Pas un projet d'audit, mais un rythme d'entreprise récurrent. Exactement le point sur lequel les cadres mondiaux échouent selon le panel de l'ONU : ils sont rédigés, pas testés.
Les 6 et 7 juillet 2026, les gouvernements ont discuté à Genève de la manière de garder l'IA gouvernable à l'échelle mondiale. Un travail important. Mais cela ne change rien à ce qui se passe aujourd'hui dans votre organisation. Ce fossé, personne ne le comblera à votre place. La bonne nouvelle : c'est un fossé que vous pouvez combler vous-même, et la première étape n'est pas un document plus épais. Ce sont des personnes qui savent ce qu'elles font.
Rob Ummels, AIAdopt. Adoption de l'IA, littératie en IA et accompagnement pratique pour les organisations qui veulent utiliser l'IA intelligemment.
Rédigé par Rob Ummels en collaboration avec Claude (Anthropic). Responsabilité éditoriale : AIAdopt.
Vous voulez savoir où en est votre organisation ?
Téléchargez notre checklist de conformité gratuite à l'EU AI Act ou découvrez nos formations en littératie en IA.