La préparation réglementaire n'est pas la littératie en IA
Ce que les RSSI et les équipes GRC doivent réellement démontrer
Imaginez la réunion du conseil d'administration. Le RSSI présente le point sur la gouvernance de l'IA. Un administrateur pose la question : « Nos équipes sont-elles prêtes à répondre aux exigences de l'EU AI Act d'ici août ? »
Le RSSI affiche le tableau de bord. Quatre-vingt-douze pour cent de taux de complétion des formations. Taux d'acceptation des politiques : 98 %. Moyenne au quiz de culture IA : 87 %. Les chiffres semblent solides. L'administrateur acquiesce.
Mais la vraie réponse — celle que le RSSI connaît, mais que le tableau de bord ne peut pas afficher — est : « Je n'en ai aucune idée. » Car aucun de ces chiffres ne répond à la question réellement posée. Le taux de complétion prouve qu'une instruction a eu lieu. Il ne prouve pas que la préparation existe.
La conformité réglementaire et la culture IA ne sont pas la même chose. Comprendre pourquoi fait toute la différence entre une position de conformité défendable et une découverte coûteuse lors de votre premier audit.
Ce que les régulateurs exigent réellement
Le paysage réglementaire de l'IA évolue rapidement. L'EU AI Act entre en vigueur le 1er août 2026. Le California AB 3030 et le Texas TRAIGA sont déjà en vigueur. La NYC Local Law 144 est appliquée depuis 2023. De nouveaux projets de loi sur l'IA progressent au niveau des États dans le Colorado, le Connecticut et l'Illinois.
À la lecture des textes réglementaires dans l'ensemble des juridictions, un schéma se dessine. Les régulateurs ne demandent pas si vos collaborateurs ont suivi une formation. Ils demandent si votre organisation est en mesure de démontrer des capacités spécifiques :
La compétence démontrée. L'EU AI Act exige que le personnel impliqué dans le déploiement de systèmes d'IA dispose de « la compétence, de la formation et de l'autorité nécessaires ». La compétence est le terme opératoire. Il s'agit d'un standard comportemental, non d'une accréditation.
La documentation des risques. Le Colorado SB24-205 impose aux déployeurs de documenter leurs pratiques de gestion des risques, notamment la manière dont ils s'assurent que les personnes interagissant avec des systèmes d'IA en comprennent les limites. Documenter cette compréhension exige des preuves allant au-delà d'une politique signée.
Les preuves comportementales. Quel que soit le cadre réglementaire, l'exigence récurrente est de prouver que les personnes sont capables d'identifier les erreurs des systèmes d'IA, d'en comprendre les limites et d'exercer un jugement approprié. Le verbe utilisé est « être capable de », et non « avoir été informé de ».
L'évaluation continue. Aucune réglementation majeure sur l'IA ne traite la conformité comme une certification ponctuelle. Elles imposent une surveillance continue, des réévaluations régulières et la documentation des améliorations. La recertification trimestrielle ou annuelle devient la norme attendue.
Le fil conducteur reliant toutes ces exigences est le même : les régulateurs veulent des preuves de comportement, non des preuves d'instruction. Un certificat de formation prouve qu'une personne a suivi un programme. Il ne prouve pas qu'elle est capable d'identifier une référence réglementaire hallucinée dans une note de conformité générée par un assistant IA.
Ce que possèdent réellement la plupart des organisations
La plupart des organisations qui répondent aux exigences réglementaires en matière d'IA ont constitué une combinaison des éléments suivants :
Des tableaux de bord de complétion des formations. Le pourcentage de collaborateurs ayant terminé le module de sensibilisation à l'IA. C'est l'indicateur le plus répandu et le moins utile. Les taux de complétion renseignent sur la logistique, non sur les compétences.
Les registres d'acceptation des politiques. Les politiques d'utilisation acceptable signées. Ces documents prouvent que le collaborateur a été informé des règles. Ils ne prouvent pas qu'il les respecte. Tout professionnel de la conformité connaît la différence entre une politique signée et une conformité réelle.
Les résultats aux tests de connaissances. Les scores aux quiz des modules de formation. Ces résultats prouvent la mémorisation à court terme de connaissances déclaratives. Un professionnel qui obtient 95 % à un quiz sur les risques d'hallucination de l'IA peut tout à fait accepter une statistique hallucinée dans un livrable client trois heures plus tard.
Les analyses d'utilisation. Les taux d'adoption, les volumes de requêtes, l'utilisation des outils. Ces données prouvent que les personnes utilisent l'IA. Elles ne prouvent en rien qu'elles l'utilisent correctement. Une organisation affichant 95 % d'adoption de l'IA et aucune culture de vérification est davantage exposée au risque qu'une organisation à 30 % d'adoption dotée de solides pratiques de contrôle.
Les certifications fournisseurs. Les rapports SOC 2, les évaluations de sécurité, les accords de traitement des données relatifs aux fournisseurs d'outils d'IA. Ces éléments traitent du risque au niveau des systèmes. Ils ne disent rien de la façon dont vos collaborateurs interagissent avec ces systèmes.
Chacun des éléments de cette liste est nécessaire. Aucun d'entre eux, pris isolément ou combinés, ne constitue les preuves comportementales que les régulateurs exigent de plus en plus. L'écart entre ce que possèdent les organisations et ce qu'exigent les réglementations n'est pas un déficit de formation. C'est un déficit de preuves.
La hiérarchie des preuves pour la GRC
Toutes les preuves de préparation à l'IA n'ont pas la même valeur. Pour les professionnels de la GRC qui évaluent leur posture de conformité, il est utile de raisonner en termes de hiérarchie des preuves, classées de la plus faible à la plus solide :
Niveau 1 : La complétion des formations. Preuve qu'une instruction a eu lieu. Le niveau le plus faible, car il démontre une exposition, non une compétence. Comparable à la preuve qu'une personne a suivi un cours de conduite défensive, et non qu'elle conduit prudemment.
Niveau 2 : Les scores aux tests de connaissances. Preuve que des connaissances déclaratives ont été retenues au moment du test. Plus solide que la complétion, mais mesure la mémorisation dans des conditions d'évaluation, non le comportement dans des conditions de travail.
Niveau 3 : Les enquêtes déclaratives. Preuve de la façon dont les personnes pensent utiliser l'IA. Utile pour identifier les attitudes et les perceptions, mais soumis aux mêmes biais de désirabilité sociale et aux mêmes effets de surconfiance qui rendent l'auto-évaluation peu fiable dans tous les domaines.
Niveau 4 : Les analyses d'utilisation. Preuve des interactions avec l'IA qui ont eu lieu. Renseigne sur le volume et la fréquence, mais non sur la qualité. Ne permet pas de distinguer un résultat vérifié d'un résultat accepté sans examen.
Niveau 5 : L'observation comportementale dans des conditions réalistes. Preuve de ce que font réellement les personnes lorsqu'elles collaborent avec l'IA, notamment leur réaction face aux erreurs, à la surconfiance et aux hallucinations. Le niveau le plus solide, car il mesure ce que les régulateurs demandent réellement : la compétence en situation.
La plupart des organisations s'arrêtent aux niveaux 1 et 2. Les plus avancées ajoutent le niveau 4. Presque aucune n'opère au niveau 5.
PAICE (People + AI Collaboration Effectiveness) opère au niveau 5. L'évaluation place les professionnels dans un scénario de collaboration avec l'IA réaliste (le leur), introduit des conditions de défaillance stratégiques et observe leur réponse comportementale. Le résultat est un score dimensionnel qui capture les taux de vérification, les schémas de détection des erreurs, les habitudes de responsabilisation et les comportements d'adaptation. C'est cette preuve qui correspond à ce que les régulateurs exigent.
Pourquoi les programmes de culture IA ne satisfont pas aux exigences réglementaires
L'écart entre la culture IA et la conformité réglementaire se comprend mieux comme une discordance de verbes.
Les régulateurs demandent : « Vos collaborateurs peuvent-ils identifier les erreurs de l'IA dans leur domaine professionnel ? »
Les programmes de formation répondent : « Nos collaborateurs ont suivi un module sur les erreurs de l'IA. »
Les régulateurs demandent : « Votre personnel peut-il démontrer un jugement approprié lorsque les résultats de l'IA ne sont pas fiables ? »
Les programmes de formation répondent : « Notre personnel a été informé des situations où les résultats de l'IA peuvent ne pas être fiables. »
Les régulateurs demandent : « Votre organisation maintient-elle en permanence des preuves de compétence ? »
Les programmes de formation répondent : « Notre organisation a administré une certification annuelle. »
Dans chaque cas, le verbe réglementaire est actif et comportemental (identifier, démontrer, maintenir). Le verbe de la formation est passif et administratif (a suivi, a été informé, a administré). Le fossé est structurel. Aucune amélioration du contenu des formations ne peut le combler, car le problème ne réside pas dans ce qui est enseigné. C'est l'enseignement lui-même qui, pris isolément, ne produit pas les preuves exigées par les régulateurs.
Il ne s'agit pas d'une critique des programmes de culture IA. Ils servent un objectif réel et important. Les personnes ont besoin de connaissances fondamentales avant de pouvoir développer des compétences comportementales. Mais la culture est un prérequis, non un substitut. Une organisation qui traite la certification en culture IA comme une conformité réglementaire a le même problème qu'une organisation qui traite un certificat de formation à la sécurité alimentaire comme la preuve que sa cuisine est propre.
Le certificat est nécessaire. L'inspection, elle, est ce qui compte.
À quoi ressemblent les preuves comportementales
Lorsqu'une organisation conduit une PAICE AI Capability Baseline, le résultat est le type de preuve qui correspond directement au langage réglementaire.
Les scores dimensionnels individuels. Chaque participant reçoit un score de 0 à 1 000 sur cinq dimensions : Performance (P), Accountability (A), Integrity (I), Collaboration (C) et Evolution (E). La dimension Integrity capture spécifiquement les taux de détection des erreurs. La dimension Accountability capture la discipline de vérification. Ce sont les indicateurs comportementaux auxquels renvoie le terme « compétence » dans le langage réglementaire.
Les distributions au niveau de la cohorte. Le Baseline produit des données agrégées montrant comment le personnel de l'organisation se comporte selon les différentes dimensions. Une équipe conformité peut présenter ces données lors d'un audit : « Voici la distribution dimensionnelle de la compétence en collaboration IA de notre personnel. Voici les points forts. Voici les lacunes identifiées. Voici les mesures que nous prenons pour y remédier. »
Les données de tendance dans le temps. La réévaluation trimestrielle produit des preuves longitudinales d'amélioration ou de régression. Cela répond directement à l'exigence d'« évaluation continue » qui figure dans les cadres réglementaires. La trajectoire est aussi importante que le score actuel.
L'analyse des écarts par dimension. Le Baseline identifie des lacunes comportementales spécifiques plutôt que des faiblesses génériques. « Notre équipe affiche de solides scores Performance et Collaboration, mais des scores Integrity inférieurs à la moyenne » est exploitable. « Notre équipe a besoin de plus de formation à l'IA » ne l'est pas.
L'architecture préservant la vie privée. Les scores individuels ne sont jamais communiqués aux employeurs. Les informations organisationnelles sont agrégées et anonymisées. Cela signifie que les preuves sont à la fois défendables et collectées de manière éthique, ce qui est important lorsque les régulateurs évaluent non seulement ce que vous avez mesuré, mais aussi la façon dont vous l'avez mesuré.
Rien de tout cela n'exige que l'organisation connaisse le score individuel d'un collaborateur. Les preuves agrégées sont ce que la conformité requiert. La confidentialité individuelle est ce que la participation requiert. L'architecture de PAICE satisfait simultanément aux deux exigences.
Construire une position défendable
Pour les RSSI et les équipes GRC qui reconnaissent le déficit de preuves dans leur posture actuelle, voici une approche pratique en trois étapes :
Étape 1 : Établir le niveau de référence de votre personnel
Conduisez une AI Capability Baseline auprès d'une cohorte représentative. Cela produit les preuves comportementales initiales : où se situe votre organisation aujourd'hui selon les cinq dimensions de la collaboration People+AI. Le Baseline remplace les suppositions par des données. Au lieu de « nous pensons que notre personnel est prêt », vous disposez de « voici notre profil dimensionnel avec des intervalles de confiance ».
L'engagement Baseline est structuré comme un programme de 2 à 4 semaines selon la taille de la cohorte, avec des garanties de confidentialité permettant une participation authentique. Chaque participant réalise l'évaluation dans son propre domaine professionnel, ce qui produit des preuves spécifiques à la façon dont vos collaborateurs travaillent réellement avec l'IA, et non des benchmarks génériques provenant d'autres organisations.
Étape 2 : Identifier les lacunes dimensionnelles
Utilisez les résultats du Baseline pour identifier les dimensions nécessitant une attention particulière. Une équipe affichant un score Performance élevé mais un score Integrity faible a besoin d'une intervention ciblée sur les habitudes de vérification, non d'une formation générale supplémentaire à l'IA. Une équipe affichant de faibles scores Accountability a besoin de clarté sur la responsabilité décisionnelle, non d'ateliers sur l'ingénierie des prompts.
C'est là que la hiérarchie des preuves est la plus importante. Aux niveaux 1 et 2, il est impossible de distinguer ces lacunes. Une équipe qui obtient 87 % à un quiz de culture IA peut avoir d'excellentes connaissances et de très mauvaises habitudes de vérification. Seules les preuves de niveau 5 révèlent les lacunes comportementales spécifiques auxquelles une intervention ciblée peut remédier.
Étape 3 : Réévaluer chaque trimestre
Établissez un calendrier trimestriel de Baseline. Cela produit les données de tendance que les régulateurs attendent de plus en plus : des preuves non seulement de la compétence actuelle, mais d'une trajectoire d'amélioration dans le temps.
Le cycle trimestriel crée également une responsabilisation organisationnelle. Lorsque les départements savent qu'ils seront réévalués, les standards comportementaux s'ancrent dans les pratiques plutôt que de se limiter aux événements de formation. La réévaluation elle-même a une valeur pédagogique (comme nous l'avons exploré dans notre article sur les Premiers Principes de Merrill), créant un cercle vertueux où la mesure stimule l'amélioration.
Pour les exigences spécifiques à chaque juridiction, EveryAILaw.com (également dans le Portefeuille PAICE) fournit des données de référence structurées et à jour sur ce que chaque réglementation exige, organisées par juridiction et associées aux calendriers de mise en œuvre. Le croisement de vos résultats Baseline avec les exigences propres à chaque juridiction vous permet de construire une feuille de route de conformité à la fois fondée sur des preuves et spécifique aux réglementations applicables.
Le compte à rebours est lancé
La date d'entrée en vigueur de l'EU AI Act, fixée au 1er août 2026, est dans 100 jours à compter de cette publication. De nombreuses lois américaines au niveau des États sont déjà en vigueur. De nouvelles législations sur l'IA progressent à travers le monde. Les organisations qui s'appuient encore sur des tableaux de bord de complétion des formations comme principale preuve de leur préparation à l'IA construisent sur des bases que les régulateurs ont déjà jugées insuffisantes.
La question n'est pas de savoir si vos collaborateurs ont été formés. La question est de savoir si vous pouvez prouver qu'ils sont compétents. La différence entre ces deux questions est la différence entre un tableau de bord de formation et un Baseline comportemental. Entre la culture IA et la conformité réglementaire. Entre ce que vous espérez être vrai et ce que vous pouvez démontrer lors d'un audit.
Vous souhaitez évaluer la préparation de votre équipe à la collaboration avec l'IA ? En savoir plus sur PAICE pour les organisations ou réaliser une évaluation individuelle pour en faire vous-même l'expérience.
Participez :
- Réaliser l'évaluation (gratuit, toujours)
- Explorer nos offres Baseline (pour les organisations)
- Lire les livres blancs (cadre complet)
- Nous contacter au sujet de vos besoins spécifiques
Lectures recommandées
📖 Gouvernance et conformité :
- Your AI Policy Is Not Enough - Cinq vérités inconfortables sur ce qui garantit réellement la sécurité de l'IA
- The Age of AI Accountability - Pourquoi les cadres de gouvernance ont besoin de preuves comportementales
- The Regulation Gap - Vidéo sur la distance entre la sensibilisation réglementaire et une conformité défendable
📖 Mesure comportementale :
- PAICE vs. AI Literacy Tests - Pourquoi le comportement prime sur les connaissances dans l'évaluation
- How Does PAICE Support Enterprise Risk Reduction? - FAQ sur la couche de risque comportemental
- Why AI Training Programs Aren't Working - L'écart entre les taux de complétion et le changement comportemental
📖 Pour commencer :
- How to Prepare Your Organization for a PAICE Cohort Assessment - Guide de déploiement pour les responsables L&D et les responsables conformité
- Introducing the AI Capability Baseline - Pourquoi les organisations ont besoin de points de départ mesurables
Curious but short on time?
Take the 3-minute PAICE Pulse — a quick confidence check that maps how you see your own AI collaboration posture. No login required.