L’intelligence artificielle est entrée dans une nouvelle phase : les modèles peuvent désormais poser des actions — déployer du code, interagir avec des systèmes d’entreprise et fonctionner au moyen d’agents automatisés — avec des conséquences concrètes dans le monde réel. L’IA n’est plus seulement une capacité technique ; elle est devenue une priorité centrale de gouvernance.
Les conseils d’administration qui traitent encore l’IA comme un simple enjeu des TI sont déjà en retard. L’IA doit désormais être considérée au même titre que la cybersécurité, l’information financière et la gestion des risques d’entreprise. Les principaux risques comprennent les hallucinations, les fuites de données confidentielles, les biais, les comportements imprévisibles et la dérive des modèles — des risques qui peuvent entraîner des dommages opérationnels lorsque l’IA est connectée à des systèmes de production. Parallèlement, l’IA peut transformer les secteurs d’activité et les structures de coûts à une vitesse sans précédent.
Principaux enjeux de supervision pour les conseils d’administration
Une gouvernance efficace exige une compréhension structurée des risques susceptibles de compromettre l’intégrité des décisions et la stabilité opérationnelle. Elle exige également une expertise appropriée en IA et l’inscription de l’IA comme point permanent à l’ordre du jour de chaque réunion du conseil. Ensemble, les enjeux ci-dessous définissent les questions concrètes que les conseils doivent poser afin de s’assurer que les systèmes d’IA sont déployés, gouvernés et mis à l’échelle de manière à protéger l’entreprise tout en favorisant une innovation responsable.
Enjeu 1 : Nécessité d’une expertise en IA au sein du conseil ou accessible au conseil
Les administrateurs doivent comprendre les implications stratégiques, juridiques et opérationnelles de l’IA afin d’exercer une surveillance adéquate.
|
Exemple illustratif : En l’absence d’expertise en IA, le conseil d’administration et la direction se limitent à de petits projets pilotes plutôt que de bâtir une capacité d’IA à l’échelle de l’entreprise. Les concurrents déploient l’IA à grande échelle dans les ventes, le service à la clientèle et les opérations — réduisant les délais de réponse et les coûts unitaires de 20 à 30 % — et mettent ces gains de l’avant dans leur stratégie commerciale. En l’espace d’un cycle budgétaire, les clients exigent des fonctionnalités comparables intégrant l’IA et utilisent les prix des concurrents comme levier de négociation. Faute d’une veille concurrentielle structurée et récurrente, la direction constate l’écart trop tard, ce qui entraîne un programme de rattrapage précipité et une érosion des marges. |
Enjeu 2 : L’IA n’est pas inscrite comme point permanent à l’ordre du jour de chaque réunion du conseil d’administration
L’IA évolue trop rapidement pour faire l’objet d’une surveillance périodique ou ponctuelle ; elle doit être suivie de façon continue.
Enjeu 3 : Perturbation des modèles d’affaires par l’IA — risque concurrentiel existentiel
L’IA peut banaliser le produit principal d’une entreprise, réduire considérablement les coûts de changement de fournisseur et déplacer la captation de valeur vers de nouveaux intermédiaires.
|
Exemple : Des éditeurs ont signalé une diminution du trafic (en anglais seulement) de référence provenant de Google Search — c’est‑à‑dire les clics et visites générés lorsqu’un utilisateur sélectionne un résultat de recherche et accède au site de l’éditeur. Avec les Aperçus IA, Google peut afficher une réponse générée par l’IA en haut de la page de résultats, permettant à l’utilisateur d’obtenir l’information recherchée sans cliquer vers les articles sources (même lorsque ces articles sont utilisés comme références). Lorsque ces visites de redirection diminuent, les éditeurs peuvent perdre des impressions publicitaires diffusées sur leurs propres pages, des conversions d’abonnements ainsi que des revenus d’affiliation liés aux sessions sur le site. |
Enjeu 4 : Capacité financière et capacité du bilan à déployer l’IA — nécessité de partenariats ou de fusions et acquisitions pour atteindre une échelle concurrentielle
Même lorsque l’IA est stratégiquement essentielle, les investissements requis — notamment la modernisation des données, la capacité infonuagique et GPU, les contrats avec des fournisseurs, la sécurité et la gestion du changement — peuvent dépasser ce que l’entreprise est en mesure de financer sans nuire à ses activités principales. Certaines entreprises ne pourront pas demeurer concurrentielles en matière d’IA sans acquérir, nouer des partenariats ou investir dans des capacités d’IA à grande échelle.
|
Exemple : À mesure que les modèles fondamentaux deviennent un point de contrôle stratégique, les grandes entreprises technologiques — notamment Google, Meta, Apple, Microsoft, Anthropic et OpenAI — ont investi massivement (en anglais seulement) pour s’assurer de disposer de capacités propriétaires en matière de modèles d’IA, en combinant le développement interne avec l’octroi de licences, des investissements et des partenariats (en anglais seulement) afin de sécuriser les talents, les données et les ressources de calcul. La même dynamique s’applique à l’échelle des entreprises : lorsque la différenciation repose sur des fonctionnalités fondées sur l’IA, il peut être nécessaire de conclure des partenariats (avec des fournisseurs de modèles, des fournisseurs infonuagiques ou GPU, ou des détenteurs de données sectorielles) ou de procéder à des fusions et acquisitions ciblées afin d’obtenir les capacités requises assez rapidement pour suivre le rythme du marché, plutôt que de s’appuyer sur des développements progressifs qui arrivent après que le marché a déjà évolué. |
Enjeu 5 : Comprendre le coût total de l’IA à grande échelle
Les coûts liés au calcul, aux données et à l’optimisation des modèles peuvent croître de façon exponentielle et miner les marges.
|
Exemple : Duolingo a indiqué (en anglais seulement) que le déploiement et l’adoption de ses fonctionnalités d’IA générative haut de gamme, Duolingo Max, ont entraîné une hausse des coûts d’exploitation et contribué à une compression de la marge brute. Cet exemple illustre que des fonctionnalités d’IA performantes en mode pilote peuvent avoir un impact significatif sur les marges une fois déployées à des millions d’utilisateurs, à moins que les coûts d’inférence et les coûts opérationnels connexes ne soient activement conçus, maîtrisés et gérés. |
Enjeu 6 : Incidences sur les effectifs et l’embauche — productivité accrue et substitution d’emplois par l’IA
L’assistance par l’IA peut modifier de façon importante les besoins en personnel en augmentant la production par employé et en automatisant des ensembles de tâches au sein des rôles.
|
Exemple : Le chef de la direction d’IBM a déclaré que l’entreprise suspendrait l’embauche (en anglais seulement) pour certains postes administratifs, notamment en ressources humaines, et qu’elle prévoit que l’IA et l’automatisation pourraient remplacer environ 7 800 emplois au fil du temps. Cet exemple démontre que l’IA peut transformer les stratégies d’embauche même en l’absence de mises à pied immédiates. |
Enjeu 7 : Choix « concevoir ou acheter » (et partenariats) en matière d’IA — déterminants du contrôle, des coûts et de l’enfermement à long terme
Le choix entre « concevoir » et « acheter » ne relève plus uniquement de l’approvisionnement logiciel ; il détermine qui exercera le contrôle sur les capacités d’IA de l’entreprise à long terme. L’option concevoir (modèles développés à l’interne, cadres d’agents et pipelines de données) peut offrir un avantage concurrentiel, un meilleur contrôle des données et une plus grande flexibilité, mais elle exige des talents rares, une forte rigueur d’ingénierie ainsi que des coûts d’exploitation continus (calcul, évaluation, sécurité et surveillance).
L’option acheter (modèles de fournisseurs, copilotes et plateformes d’agents gérées) permet une mise en œuvre rapide et des fonctionnalités clés en main, mais elle peut créer une dépendance à l’égard des prix, de la feuille de route, de la fiabilité et de la posture de sécurité du fournisseur, et rendre difficile un changement ultérieur une fois que les flux de travail, les invites, les outils et les comportements des utilisateurs sont structurés autour de l’écosystème du fournisseur.
Dans la pratique, de nombreuses organisations adoptent un modèle hybride ou de partenariat : elles achètent un modèle fondamental, puis développent par‑dessus des données propriétaires, des mécanismes de recherche, des garde‑fous et des flux de travail.
|
Exemple illustratif : Une banque « achète » une plateforme d’agents de bout en bout auprès d’un fournisseur unique afin d’automatiser le service à la clientèle et certaines opérations internes. Sur une période de 12 à 18 mois, des centaines de flux de travail sont construits sur cette plateforme : les invites sont optimisées pour le modèle du fournisseur, les outils sont intégrés à ses connecteurs, les journaux et les indicateurs d’évaluation sont hébergés dans ses tableaux de bord, et le personnel est formé à son langage de configuration. Lorsque les prix augmentent et que les autorités de réglementation exigent davantage de transparence et de contrôle, la banque envisage un changement de fournisseur, mais découvre qu’une migration nécessiterait la réécriture des flux de travail, la reconstruction des intégrations, la reprise des tests des contrôles de sécurité et la requalification du personnel — transformant ainsi une décision d’achat rapide en un enfermement technologique s’étalant sur plusieurs années. |
Enjeu 8 : Responsabilité et imputabilité de la haute direction en matière d’IA et gouvernance transversale de l’IA
Les risques et la création de valeur liés à l’IA touchent plusieurs fonctions — produits, opérations, affaires juridiques, protection de la vie privée, sécurité et ressources humaines. En l’absence d’un dirigeant clairement responsable (et de droits décisionnels bien définis), les initiatives en IA peuvent se multiplier sans cohérence : les unités d’affaires déploient des outils de façon inégale, les contrôles des risques accusent un retard par rapport à l’adoption, et personne n’est ultimement responsable des résultats lorsqu’un problème survient.
|
Exemple illustratif : Le chef de l’exploitation (COO) parraine le déploiement d’une solution d’IA pour le service à la clientèle, le chef de l’information (CIO) approuve séparément un outil de productivité fondé sur l’IA, et certaines unités d’affaires mettent en place leurs propres agents conversationnels — chacun avec des modalités contractuelles différentes, des pratiques distinctes de traitement des données et des mécanismes d’escalade non harmonisés. Une plainte de client déclenche une enquête, mais aucun dirigeant n’est en mesure de répondre à des questions de base (Quels modèles sont utilisés ? Quelles données sont transmises à l’externe ? Qui peut interrompre les systèmes ? Qui a approuvé ce cas d’utilisation ?). Le conseil d’administration impose alors la désignation d’un dirigeant unique responsable, la mise en place d’un registre centralisé et de processus d’approbation normalisés, ainsi qu’un tableau de bord de suivi uniforme, afin que l’imputabilité soit clairement établie avant le prochain incident. |
Enjeu 9 : Gestion des incidents liés à l’IA, préparation à la divulgation et rapports au conseil d’administration
Les défaillances de l’IA exigent souvent des décisions rapides sous une forte pression juridique et réputationnelle (par exemple : décider de suspendre une fonctionnalité d’IA, d’aviser les clients, d’informer les autorités de réglementation, de préserver les éléments de preuve et de gérer les communications publiques). Les plans traditionnels de réponse aux incidents de cybersécurité sont insuffisants, car les incidents liés à l’IA peuvent impliquer le comportement des modèles, des fuites de données par l’intermédiaire des invites ou des journaux, des fournisseurs de modèles tiers et des résultats qui évoluent rapidement.
|
Exemple : OpenAI a indiqué qu’un bogue survenu en mars 2023 (en anglais seulement) avait permis à certains utilisateurs de voir les titres de conversations provenant de l’historique d’autres utilisateurs et que des renseignements liés au paiement de certains abonnés ChatGPT Plus pourraient avoir été exposés. L’incident a entraîné la suspension du service, l’application de correctifs et l’envoi d’avis aux utilisateurs. Cet événement illustre pourquoi les entreprises doivent disposer d’un plan de gestion des incidents propre à l’IA et de mécanismes de reddition de comptes au niveau du conseil permettant de répondre rapidement aux questions suivantes : que s’est‑il passé, qui est touché, quelles données sont à risque, qui a le pouvoir d’interrompre les systèmes et quelles divulgations sont requises. |
Enjeu 10 : Exposition à des infractions réglementaires ou juridiques majeures
Les lois et cadres réglementaires sur l’IA à l’échelle mondiale prévoient des amendes importantes, des restrictions opérationnelles et, dans certains cas, une responsabilité personnelle pour les administrateurs.
|
Exemple : Les autorités de réglementation ont intenté des recours (en anglais seulement) liés à la discrimination algorithmique dans les domaines de la publicité et du logement. Une défaillance comparable dans un système décisionnel fondé sur l’IA peut entraîner des enquêtes réglementaires, l’imposition de mesures correctives obligatoires et des règlements coûteux. |
Enjeu 11 : Divulgation de l’utilisation de l’IA dans les produits ou services
Les autorités de réglementation, les clients et les contreparties s’attendent de plus en plus — et, dans certaines juridictions, l’exigent désormais — à ce que les organisations divulguent l’utilisation de l’IA dans leurs produits, services ou décisions qui les concernent.
|
Exemple : La Loi 25 du Québec, entrée pleinement en vigueur en septembre 2023, oblige les organisations du secteur privé à informer les personnes lorsqu’une décision les concernant est fondée exclusivement sur un traitement automatisé et à leur offrir, sur demande, la possibilité d’une révision humaine. Cette exigence crée des obligations de conformité concrètes pour toute entreprise exerçant des activités au Québec qui utilise l’IA dans des décisions touchant les clients, l’octroi de crédit, l’embauche ou des contextes similaires. À l’échelle fédérale, le projet de Loi sur l’intelligence artificielle et les données, présenté dans le cadre du projet de loi C‑27, imposerait des exigences de transparence et de divulgation pour les systèmes d’IA à incidence élevée partout au Canada, bien qu’au début de 2026, cette législation n’ait pas encore été adoptée. |
Enjeu 12 : Propriété intellectuelle, droits sur les données et utilisation licite — modèles, données d’entraînement et résultats
Les organisations sont exposées à des risques juridiques convergents concernant : (i) la propriété des modèles, des données d’entraînement et des résultats générés ; (ii) la légalité de la collecte et de l’utilisation des données servant à l’entraînement ou à l’ajustement des modèles ; et (iii) les licences, consentements et obligations d’attribution applicables aux données d’entrée et aux résultats produits.
|
Exemple : Des litiges en cours (en anglais seulement) et l’évolution des politiques publiques continuent de remettre en question la légalité de l’entraînement et du déploiement de modèles génératifs à partir de contenus protégés par le droit d’auteur ou d’autres droits, sans autorisation. Cette situation crée une incertitude quant aux types de données pouvant être utilisés, aux obligations de divulgation applicables et à la titularité ou à l’exploitation des résultats générés. |
Enjeu 13 : Contrats désuets avec les clients, les fournisseurs et les employés
Les contrats doivent répartir clairement la responsabilité, définir les usages acceptables, restreindre les comportements dangereux de l’IA et traiter : (i) de l’utilisation des outils d’IA par les employés (confidentialité, outils autorisés, propriété des résultats) ; et (ii) des fonctionnalités d’IA destinées aux clients (clauses de non‑responsabilité, droits d’audit, limites applicables aux usages critiques pour la sécurité).
|
Exemple : La controverse entourant les conditions d’utilisation (en anglais seulement) de Zoom en août 2023, selon lesquelles des modifications semblaient autoriser l’utilisation de certaines catégories de données clients à des fins « d’apprentissage automatique ou d’intelligence artificielle », a suscité une vive réaction du public et amené Zoom à clarifier et modifier ses conditions afin de préciser qu’elle n’utiliserait pas les contenus audio, vidéo ou de clavardage des clients pour entraîner des modèles d’IA sans leur consentement. Cet épisode illustre pourquoi les contrats clients existants et les conditions en ligne doivent souvent être mis à jour à l’ère de l’IA générative afin de préciser : (i) si les données ou « contenus » fournis par les clients peuvent être utilisés pour l’entraînement des modèles ou l’amélioration des services ; (ii) les mécanismes d’adhésion volontaire et de consentement ; et (iii) des limites claires quant à l’utilisation des données, afin d’éviter une perte de confiance des clients et une exposition accrue à la responsabilité. |
Enjeu 14 : Validation des résultats d’IA fournis par des tiers
De nombreux modèles proposés par des fournisseurs tiers sont opaques et ne font pas l’objet d’une validation indépendante.
|
Exemple : En 2024, le Department of Justice des États‑Unis a intenté une poursuite contre RealPage (en anglais seulement), alléguant que son algorithme de fixation des loyers et certaines pratiques connexes facilitaient une coordination anticoncurrentielle illégale en utilisant des renseignements non publics et commercialement sensibles provenant de propriétaires concurrents pour formuler des recommandations de prix. Cette affaire illustre comment des outils analytiques de type « boîte noire » fournis par des tiers peuvent créer des risques juridiques et réputationnels importants lorsque les données d’entrée, les données d’entraînement et les mécanismes de gouvernance ne sont pas compris et validés de manière indépendante. |
Enjeu 15 : Absence de couverture d’assurance pour les préjudices liés à l’IA
De nombreux préjudices liés à l’IA sont exclus des polices d’assurance traditionnelles.
|
Exemple : Les assureurs ont commencé à intégrer de larges clauses d’exclusion de l’IA dans les polices de responsabilité civile et de responsabilité professionnelle. Des analyses du marché ont notamment signalé l’introduction par Berkley d’une exclusion « absolue » (en anglais seulement) liée à l’IA. Une entreprise peut présumer que sa couverture en cybersécurité ou en erreurs et omissions (E&O) répondra à un incident lié à l’IA (par exemple, une erreur de service causée par l’IA, un préjudice découlant d’une décision automatisée ou une interruption de service attribuable à l’IA), pour découvrir — lors du renouvellement de la police ou au moment d’une réclamation — que le libellé contractuel exclut les pertes associées à des décisions « fondées sur l’IA » ou « algorithmiques ». L’entreprise se retrouve alors à assumer directement les coûts de remédiation et de défense. |
Enjeu 16 : Absence de la supervision humaine requise (« human‑in‑the‑loop ») dans les décisions d’IA à enjeux élevés
Dans des contextes à enjeux élevés — tels que l’octroi de crédit, l’embauche, la souscription d’assurance et les décisions médicales — les autorités de réglementation et les tribunaux exigent de plus en plus que les décisions assistées par l’IA fassent l’objet d’une révision humaine significative avant leur mise en œuvre, et que les personnes concernées disposent du droit de contester les décisions fondées exclusivement sur des systèmes automatisés.
|
Exemple : La Loi 25 du Québec exige expressément que les personnes soient informées lorsqu’une décision les concernant est prise exclusivement au moyen d’un traitement automatisé et leur reconnaît le droit de demander une révision humaine. De son côté, la Loi européenne sur l’IA (EU AI Act) classe certaines applications de l’IA — notamment celles utilisées en emploi, en matière de crédit et en application de la loi — comme des systèmes à haut risque, assujettis à des exigences obligatoires de supervision humaine avant leur déploiement. |
Enjeu 17 : Systèmes d’IA capables de poser des actions nuisibles ou autonomes
L’IA agentique (c’est‑à‑dire des systèmes d’IA capables de planifier et d’exécuter des actions — souvent en appelant des outils, des logiciels ou d’autres systèmes — en vue d’atteindre un objectif avec une intervention humaine limitée), lorsqu’elle est connectée à des systèmes opérationnels, financiers ou orientés vers la clientèle, peut causer des dommages immédiats et catastrophiques.
|
Exemple : En juillet 2025, le fondateur de SaaStr, Jason Lemkin, a rapporté qu’un agent d’IA de programmation sur Replit avait supprimé de façon autonome (en anglais seulement) une base de données de contrats de cadres dirigeants pendant une période de « gel du code » explicitement décrétée, et ce, malgré des instructions claires de ne procéder à aucun changement. Cet incident illustre comment des systèmes agentiques disposant de droits d’écriture peuvent poser des actions rapides et destructrices lorsque les garde‑fous et les mécanismes d’approbation sont insuffisants ou mal configurés. |
Enjeu 18 : Risque de concentration dans la chaîne d’approvisionnement de l’IA
La dépendance à l’égard d’un nombre limité de fournisseurs de modèles, de plateformes infonuagiques ou de fabricants de semi‑conducteurs crée une vulnérabilité systémique.
|
Exemple : Le 10 avril 2024, OpenAI a signalé un incident (en anglais seulement) marqué par une hausse importante des erreurs affectant ChatGPT, perturbant les utilisateurs ainsi que les organisations ayant intégré des modèles d’OpenAI dans leurs outils de soutien à la clientèle, leurs applications de productivité interne ou leurs fonctionnalités de produits. |
Enjeu 19 : Pratiques des fournisseurs en matière d’IA créant des risques en aval
Les organisations qui adoptent un outil d’IA fourni par un tiers héritent également des pratiques de sécurité, de déploiement et de mise à jour de ce fournisseur. Si l’outil comporte une vulnérabilité (ou une configuration par défaut risquée), il peut exposer les environnements de développement et le code de l’entreprise jusqu’à ce que le problème soit détecté et corrigé.
|
Exemple : AWS a publié un bulletin de sécurité (en anglais seulement) et une mise à jour concernant son extension Amazon Q Developer pour VS Code, illustrant comment des vulnérabilités présentes dans des outils d’IA fournis par des tiers peuvent exposer les environnements de développement des clients jusqu’à leur identification et leur correction. |
Enjeu 20 : Dérive des modèles et dégradation de la performance
La performance des systèmes d’IA se détériore avec le temps en l’absence de mécanismes de surveillance adéquats.
|
Exemple : Netflix a expliqué que ses modèles de recommandation (en anglais seulement) doivent être testés, surveillés et mis à jour de façon continue, car les préférences et le contexte des utilisateurs évoluent, le catalogue de contenu change (nouvelles sorties, retraits) et les expérimentations liées au produit ou à l’interface utilisateur modifient ce que les utilisateurs cliquent et regardent. Ces facteurs créent des boucles de rétroaction susceptibles de dégrader la performance si elles ne sont pas activement gérées. |
Enjeu 21 : Faiblesse des contrôles opérationnels entourant l’IA
Les systèmes d’IA opérationnels doivent être gouvernés comme tout autre système critique.
|
Exemple : Amazon a reconnu qu’une interruption de service survenue en décembre 2025 (en anglais seulement), touchant AWS Cost Explorer dans la région de la Chine continentale, était attribuable à des « contrôles d’accès mal configurés » (erreur humaine). Des reportages ont alors établi un lien entre l’incident et l’utilisation interne d’un outil de programmation agentique fondé sur l’IA (Kiro), auquel des autorisations de production trop étendues avaient été accordées. Cet épisode démontre que, qu’une défaillance soit attribuée à l’IA ou à une intervention humaine, des contrôles opérationnels insuffisants — notamment en matière de gestion des changements, de principe du moindre privilège, de révision par les pairs et de mécanismes de retour arrière — peuvent transformer une automatisation appuyée par l’IA en interruption de service majeure. |
Enjeu 22 : Désalignement éthique du comportement de l’IA
Les systèmes d’IA peuvent optimiser des indicateurs de performance qui entrent en conflit avec les valeurs organisationnelles.
|
Exemple : Des divulgations de lanceurs d’alerte et des reportages subséquents ont décrit comment l’approche de classement du fil d’actualité de Facebook privilégiait l’engagement (« interactions sociales significatives »), alors que des recherches internes avertissaient que cette optimisation pouvait amplifier des contenus polarisants ou suscitant la colère (en anglais seulement), ceux‑ci générant davantage de réactions, de commentaires et de partages. Il s’agit d’un problème de désalignement éthique : le système optimise l’indicateur retenu (l’engagement), même lorsque celui‑ci entre en conflit avec des valeurs plus larges telles que le bien‑être des utilisateurs, la cohésion sociale et l’intégrité de l’information, à moins que la direction n’impose des garde‑fous clairs et une imputabilité axée sur les résultats, et non uniquement sur les indicateurs d’engagement. |
Enjeu 23 : Changements de comportement humain induits par l’IA
L’IA peut entraîner une dépendance excessive, une perte de compétences (déqualification) ou l’adoption de raccourcis dangereux.
|
Exemple : Des autorités de réglementation américaines ont constaté une « lacune critique en matière de sécurité » dans le système d’aide à la conduite Autopilot de Tesla, laquelle aurait contribué à des centaines d’accidents. Elles ont notamment relevé que le système n’assurait pas adéquatement l’attention du conducteur (en anglais seulement) et que l’écart entre les attentes des utilisateurs et les capacités réelles du système a mené à une « utilisation prévisible et inappropriée ». L’enseignement en matière de gouvernance s’applique également aux flux de travail assistés par l’IA : lorsque les utilisateurs présument que le système « s’en occupe », l’attention humaine et la qualité de la révision peuvent se détériorer, à moins que des garde‑fous robustes, une conception claire des rôles et une supervision humaine effective ne soient imposés. |
Enjeu 24 : Transformation de la main-d’œuvre et requalification
L’adoption de l’IA nécessite de nouvelles compétences et une refonte des processus organisationnels.
|
Exemple illustratif : Une banque automatise l’examen des documents hypothécaires, mais ne requalifie pas les souscripteurs pour le traitement des exceptions. Le débit s’améliore brièvement, puis des retards s’accumulent, car le personnel n’est pas en mesure d’analyser et de résoudre les cas atypiques signalés par le modèle. |
Enjeu 25 : IA, information financière, contrôles internes et intégrité de l’audit
À mesure que les organisations intègrent l’IA aux prévisions financières, aux processus de clôture, à la préparation des documents d’information financière et aux contrôles internes, l’intégrité de l’information financière devient directement tributaire de la fiabilité et de l’auditabilité de ces systèmes d’IA. Les modèles d’IA peuvent produire des résultats qui semblent précis et crédibles, mais qui reposent sur des hypothèses erronées ou une logique mal comprise. Contrairement à une erreur dans un tableur, une erreur générée par l’IA peut être difficile à détecter ou à retracer après coup. Le risque est particulièrement élevé lorsque l’IA est utilisée pour des estimations exigeant un jugement important de la direction, notamment en matière de dépréciations d’actifs, de comptabilisation des produits et de provision pour pertes sur créances, puisque le raisonnement du modèle peut manquer de transparence pour appuyer le jugement humain et la documentation exigés par les auditeurs et les autorités de réglementation.
|
Exemple illustratif : Une entreprise utilise un modèle d’IA pour l’aider à rédiger le rapport de gestion (MD&A) et les prévisions financières. Le modèle s’appuie sur des données internes qui n’ont pas été correctement rapprochées et génère des énoncés prospectifs incompatibles avec la situation financière réelle de l’entreprise. Les réviseurs considèrent le contenu produit par l’IA comme une première version fiable plutôt que comme un intrant nécessitant une validation indépendante, et l’incohérence n’est pas détectée avant le dépôt officiel. Il en résulte une information financière matériellement trompeuse, entraînant un examen réglementaire, un risque de retraitement, un examen accru par le comité d’audit et des recours collectifs — le tout découlant de l’adoption d’un outil d’IA à des fins d’efficacité sans contrôles de gouvernance adéquats. |
Enjeu 26 : Dépendance des clients aux résultats de l’IA — risque de responsabilité du produit ou du service
Lorsque l’IA est intégrée à des produits ou à des fonctions de soutien destinés aux clients, ceux‑ci peuvent raisonnablement considérer les résultats fournis comme faisant autorité. Si l’IA communique des conditions, des directives ou des décisions erronées, l’entreprise peut s’exposer à des recours en protection du consommateur, à des différends contractuels, à un examen réglementaire et à des coûts de remédiation.
|
Exemple : Air Canada a été contrainte d’honorer (en anglais seulement) une politique de remboursement pour motif de décès qui avait été décrite de manière incorrecte par son agent conversationnel. |
Enjeu 27 : Atteinte à la réputation découlant de défaillances de l’IA
Les systèmes d’IA exposés au public peuvent miner la confiance de façon instantanée et irréversible.
|
Exemple : xAI a présenté des excuses publiques après que Grok a généré des publications incendiaires et offensantes (en anglais seulement) sur la plateforme X en juillet 2025. |
Enjeu 28 : Exactitude et contrôle des hallucinations
Les systèmes d’IA peuvent générer des informations fausses avec un haut degré de confiance. Lorsque ces résultats sont réutilisés dans la prise de décision, les communications avec les clients, les documents juridiques ou l’information financière, les hallucinations peuvent créer un risque cumulatif important.
|
Exemple : Dans l’affaire Mata c. Avianca, Inc. (en anglais seulement) (S.D.N.Y., 2023), des avocats ont déposé un acte de procédure contenant plusieurs citations jurisprudentielles inexistantes générées par ChatGPT. Comme ces décisions ne figuraient dans aucune base de données juridique, le tribunal a sanctionné les avocats, illustrant comment des « faits » hallucinés peuvent s’infiltrer dans des processus à enjeux élevés si les sources ne sont pas vérifiées par des humains avant leur réutilisation. |
Enjeu 29 : Impacts environnementaux et énergétiques du calcul lié à l’IA
Les charges de travail associées à l’IA peuvent entrer en conflit avec les engagements en matière de durabilité ou avec des contraintes énergétiques.
|
Exemple : Une nouvelle fonctionnalité d’IA générative exige une capacité dédiée de processeurs graphiques (GPU) ; la hausse de la consommation d’électricité et des besoins en refroidissement (en anglais seulement) est telle que l’entreprise doit réviser ses rapports en matière de durabilité et renégocier ses contrats d’approvisionnement énergétique. |
Enjeu 30 : Confidentialité, fuites de données et utilisation d’« IA de l’ombre » — outils non approuvés et divulgations involontaires
L’IA accroît les risques de confidentialité de deux façons complémentaires.
Premièrement, les modèles et les systèmes en aval peuvent exposer des renseignements sensibles par l’entremise des journaux, des mécanismes de recherche ou d’une régurgitation involontaire (par exemple, des données d’entraînement, l’historique des invites ou du contenu propriétaire apparaissant dans les résultats).
Deuxièmement, les employés adoptent fréquemment des outils d’IA grand public ou non approuvés (« IA de l’ombre ») pour gagner du temps — en y copiant des données clients, des contrats, du code source ou des informations stratégiques internes dans des agents conversationnels, des outils d’enregistrement de réunions, des extensions de navigateur ou des assistants de programmation en dehors des contrôles autorisés. Il peut en résulter des divulgations de renseignements confidentiels, des violations de la vie privée ou de renseignements personnels, une perte du privilège juridique, des problèmes de contamination ou de titularité de la propriété intellectuelle, une exposition réglementaire et des enjeux de conservation des documents.
|
Exemple : Samsung a restreint l’utilisation par ses employés (en anglais seulement) d’outils comme ChatGPT après avoir constaté que certains membres du personnel y avaient copié des informations confidentielles, notamment du code source et du contenu de réunions internes. |
Liste de vérification pour la supervision du conseil d’administration
- Assurer une expertise en IA : Ajouter des administrateurs possédant une littératie en IA et/ou retenir des conseillers externes indépendants.
- Établir une cadence de supervision : Inscrire l’IA comme point permanent à l’ordre du jour du conseil et mettre en place un tableau de bord récurrent comprenant notamment : l’inventaire des cas d’utilisation, les incidents et quasi‑incidents, la performance et la dérive des modèles, les dépenses par rapport à la valeur créée, les dépendances clés envers les fournisseurs et les principales évolutions réglementaires.
- Attribuer une responsabilité claire : Confirmer la désignation d’un dirigeant responsable nommé, doté de droits décisionnels explicites (p. ex. chef de l’IA, CIO/CTO, chef de la gestion des risques ou équivalent), et intégrer de façon coordonnée les fonctions juridique, protection de la vie privée, gestion des risques, ressources humaines, TI, cybersécurité et unités d’affaires, avec des mécanismes d’escalade et des parcours décisionnels clairement définis.
- Mettre à l’épreuve des scénarios de perturbation « existentielle » : Exiger de la direction la présentation de deux à trois scénarios plausibles de perturbation existentielle attribuable à l’IA (compression des revenus, désintermédiation, nouveaux entrants, effets de « zéro clic/zéro recherche », automatisation du service de base), accompagnés d’indicateurs avancés, de seuils de déclenchement et d’options de réponse approuvées par le conseil.
- Déterminer les leviers stratégiques et les ressources nécessaires : S’aligner sur la feuille de route en matière d’IA (réinvention des produits, tarification, partenariats, acquisitions ou cessions) ainsi que sur les ressources financières et humaines requises.
- Superviser la transformation de la main‑d’œuvre : Encadrer la planification des effectifs, la requalification et la refonte des rôles ; gouverner les réductions d’effectifs significatives attribuables à l’IA ; et protéger les talents et connaissances critiques (sécurité et sûreté de l’IA, données, produits, risques et affaires juridiques) au moyen de plans de rétention et de relève.
- Approuver un cadre de gestion des risques liés à l’IA :
- Confirmer la posture de risque par cas d’utilisation (ce que l’entreprise fera ou ne fera pas) et s’assurer que les investissements et déploiements en IA sont alignés sur la stratégie d’entreprise et l’appétence pour le risque.
- Classer les cas d’utilisation selon le niveau de risque ; établir les exigences de supervision humaine ; définir les contrôles applicables aux déploiements à fort impact ; préciser les autorités d’approbation pour les usages à haut risque et les changements significatifs (modèles, invites/outils, données) ; exiger des plans d’essai et de retour arrière ; maintenir une documentation, des registres décisionnels et des mécanismes de journalisation et de conservation des données à des fins d’enquête, d’audit et de découverte électronique ; et, pour l’IA destinée aux clients, instaurer des garde‑fous pour les sujets à haut risque, imposer des obligations de divulgation et d’escalade humaine, et empêcher que les résultats de l’IA modifient des politiques officielles, des prix ou des conditions sans approbations contrôlées.
- Tenir un registre complet des cas d’utilisation et des modèles d’IA (y compris l’IA de l’ombre), indiquant les responsables, les fournisseurs, les sources de données et les juridictions ; définir les outils approuvés et les données interdites ; et assurer des contrôles adéquats en matière de protection de la vie privée, de provenance de la propriété intellectuelle et de confidentialité.
- Effectuer une diligence raisonnable à l’égard des fournisseurs et prévoir contractuellement l’utilisation et la conservation des données, les droits d’audit, les obligations de sécurité et la répartition de la responsabilité ; obtenir des assurances pour les fournisseurs critiques et comprendre les sous‑traitants et les flux de données ; et maintenir des ententes de niveau de service ainsi que des plans de continuité et de sortie/portabilité pour atténuer les risques de concentration.
- Identifier les exclusions et lacunes de couverture d’assurance, et superviser un plan d’atténuation (modifications de polices, avenants, transfert contractuel du risque ou constitution de réserves) afin de combler ces lacunes.
- Exiger un inventaire des systèmes d’IA qui interviennent dans les prévisions financières, les divulgations de clôture et les activités de contrôle, et s’assurer qu’ils sont validés, auditables et gouvernés selon des normes de gestion des changements adaptées à la supervision du comité d’audit.
- Exiger une visibilité sur l’utilisation énergétique liée au calcul et sur les impacts de la mise à l’échelle de l’IA en matière de durabilité (y compris les engagements liés aux centres de données et à l’infonuagique), et s’assurer que les plans sont cohérents avec les engagements ESG publics et les contraintes opérationnelles.
L’IA est désormais un enjeu stratégique, opérationnel, juridique et de gestion des risques d’entreprise qui exige une surveillance continue au niveau du conseil d’administration. Puisque les systèmes modernes peuvent poser des actions — et non seulement générer du texte — la gouvernance doit être conçue pour la rapidité, l’échelle et les conséquences concrètes dans le monde réel.
À propos de Bennett Jones
Le groupe Gouvernance d’entreprise de Bennett Jones conseille les conseils d’administration, les administrateurs et les dirigeants sur les questions de gouvernance d’entreprise, d’obligations fiduciaires, de divulgation et de responsabilité. Il offre des conseils indépendants dans des contextes à enjeux élevés et fortement médiatisés, et représente des administrateurs et dirigeants dans un large éventail de dossiers réglementaires, de valeurs mobilières et de litiges complexes.
La pratique en Intelligence artificielle du cabinet réunit une expertise technique approfondie et une analyse juridique rigoureuse afin d’aider les organisations à composer avec les défis de gouvernance, de gestion des risques et de conformité découlant de l’évolution rapide des technologies d’IA. Ensemble, ces capacités permettent à Bennett Jones d’accompagner les conseils d’administration dans l’intégration de l’IA à la stratégie d’entreprise avec rigueur, imputabilité et une supervision efficace.
Pour discuter de la manière dont notre équipe peut vous accompagner, veuillez communiquer avec l’un des auteurs.
