Gouvernance IA : ce que le PM gagne à cadrer en amont
L'IA dans votre produit n'est pas un problème technique. C'est un problème de PM.
En mai 2023, l'avocat new-yorkais Steven Schwartz déposait un mémoire devant la cour fédérale du Southern District de New York. Six précédents juridiques y étaient cités. Six affaires qui n'avaient jamais existé, fabriquées de toutes pièces par ChatGPT, présentées comme réelles, non vérifiées. Résultat : 5 000 dollars d'amende pour les avocats, sanctionnés pour mauvaise foi par le juge Castel (affaire Mata v. Avianca) [1].
Ce cas est devenu une illustration canonique du danger des hallucinations IA. Mais voilà ce que l'on oublie souvent d'en tirer : dans un contexte produit, c'est le PM qui aurait dû poser les garde-fous avant que le cas se présente. Pas l'avocat, pas l'ingénieur, le PM.
Car l'IA n'est pas qu'un moteur de performance. C'est une source de risques systémiques que votre roadmap, votre backlog et vos critères d'acceptance doivent intégrer. Ne pas le faire revient à accumuler ce que j'appelle de la dette méthodologique : on construit vite, mais sur des fondations encore fragiles.
La réalité du terrain : les chiffres à regarder en face
Les incidents IA ne sont plus anecdotiques. La base de données AI Incident Database a enregistré 362 incidents documentés en 2025, contre 233 en 2024, une hausse de plus de 55 % en un an [2].
Les hallucinations restent le vecteur principal. Selon les benchmarks disponibles en juin 2026, les taux d'erreur factuelles varient de 22 % à 94 % selon les modèles [3]. En 2024, 47 % des utilisateurs enterprise IA ont admis avoir pris au moins une décision métier significative basée sur du contenu halluciné [3]. Sur la seule année 2025, 12 842 articles générés par IA ont été retirés de plateformes en ligne pour cause de contenu inventé [3].
Côté biais, une étude publiée dans Scientific Reports en 2025 a montré que Stable Diffusion homogénéisait les représentations des hommes du Moyen-Orient en leur attribuant des attributs culturels traditionnels indépendamment du contexte professionnel [2]. Une analyse UNESCO de plusieurs grands modèles de langage a révélé que les femmes y étaient décrites dans des rôles domestiques quatre fois plus souvent que les hommes [2].
En réponse, 76 % des entreprises ont maintenant intégré un processus human-in-the-loop pour filtrer les outputs avant déploiement. Et 39 % des bots de service client alimentés par IA ont été retirés ou refondus en 2024 à cause d'erreurs liées aux hallucinations [2].
La question n'est donc plus "est-ce que l'IA peut planter ?", elle peut, elle plante. La question est : qui dans votre organisation a posé les garde-fous, et est-ce que ce quelqu'un avait les bons leviers ?
L'AI Act : votre calendrier de conformité, en clair
L'EU AI Act est entré en vigueur le 1er août 2024. Il s'applique de manière progressive, et voici les dates à retenir [4] :
| Date | Obligation |
|---|---|
| 2 février 2025 | Interdiction des pratiques inacceptables (manipulation, score social, etc.) |
| 2 août 2025 | Obligations pour les modèles d'IA à usage général (GPAI) |
| 2 août 2026 | Application générale : transparence + systèmes à haut risque (Annexe III) |
| 2 août 2027 | Systèmes à haut risque relevant de l'Annexe I (produits réglementés) |
Attention : un paquet législatif dit "Digital Omnibus", présenté par la Commission en novembre 2025, pourrait décaler certaines de ces échéances, notamment les obligations de l'Annexe III au 2 août 2027 et celles de l'Annexe I au 2 décembre 2028 [4]. Ce paquet devra être adopté par le Parlement européen et le Conseil avant le 2 août 2026 pour produire effet. À date, rien n'est acté.
Les obligations concrètes pour les déployeurs d'IA à haut risque incluent [4] : - Gestion des risques documentée - Gouvernance et qualité des données - Traçabilité et journaux d'événements - Supervision humaine effective - Précision, robustesse et cybersécurité - Évaluation de conformité et enregistrement dans une base de données européenne
Les sanctions en cas de non-conformité peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour les systèmes à haut risque, et 35 millions d'euros ou 7 % du CA pour les pratiques interdites [4].
Ce que cela signifie concrètement pour le PM : si votre produit utilise de l'IA dans des contextes touchant l'emploi, l'éducation, le crédit, la santé ou la justice, vous êtes probablement dans le périmètre Annexe III. La cartographie de vos usages IA n'est plus optionnelle.
Mon point de vue :
L'AI Act est souvent présenté comme une contrainte réglementaire par des équipes juridiques ou compliance. C'est, à mon sens, un cadrage incomplet. Le règlement invite à faire ce que les bons PM ont tout intérêt à faire de toute façon : définir explicitement ce que le système peut faire, pour qui, avec quelles données, avec quelle supervision humaine, et comment on sait quand quelque chose dérape. Ce n'est pas de la bureaucratie, c'est de la rigueur produit. Une gouvernance IA qui se limiterait à cocher des cases pour le CISO passerait à côté de l'essentiel.
Le NIST AI RMF : un cadre particulièrement actionnable
Au-delà de la réglementation européenne, l'un des cadres de référence les plus opérationnels pour un PM est le NIST AI Risk Management Framework (AI RMF 1.0), publié en janvier 2023 [5]. Il n'est pas contraignant, mais il est devenu l'un des frameworks de gouvernance IA les plus influents au monde, et sa structure en quatre fonctions est directement actionnable.
GOVERN : poser la culture, les rôles, les responsabilités. Qui décide qu'on lance un système IA ? Qui l'arrête si ça déraille ?
MAP : contextualiser le risque. Quel est l'usage réel ? Qui sont les parties prenantes affectées ? Quelles données ? Quels impacts potentiels sur les droits des utilisateurs ?
MEASURE : évaluer le risque de façon quantitative et qualitative. Testez les biais, mesurez les taux d'erreur, benchmarquez les outputs sur des cas limites.
MANAGE : allouer les ressources, définir les plans de réponse aux incidents, documenter les décisions de déploiement.
En juillet 2024, le NIST a publié un profil complémentaire spécifique à l'IA générative (NIST AI 600-1), qui adresse les risques propres aux LLMs : hallucinations, empoisonnement des données, usage abusif, attaques adversariales [5].
Ces quatre fonctions ne sont pas séquentielles, elles sont itératives. Le PM doit les intégrer dans le cycle produit habituel, pas les traiter comme un audit externe annuel.
Ce que le PM doit gouverner : les cinq domaines critiques
1. Qualité des outputs et hallucinations
Un système IA ne livre pas de résultats binaires (juste/faux). Il livre des probabilités habillées en certitudes. Le PM doit définir : - Les seuils d'acceptabilité des erreurs selon le contexte (erreur dans une recommandation produit vs. erreur dans un diagnostic médical = ordre de grandeur différent) - Les mécanismes de vérification humaine pour les outputs à fort enjeu - Les tests de régression sur la qualité des outputs à chaque mise à jour de modèle
2. Données et confidentialité
L'AI Act impose une gouvernance des données de bout en bout pour les systèmes à haut risque [4]. Dans les faits, cela signifie que le PM doit savoir précisément quelles données entraînent le modèle, lesquelles sont inférées en production, et lesquelles transitent vers des tiers. Les clauses contractuelles avec les fournisseurs d'IA (OpenAI, Mistral, Anthropic...) sont un impensé de nombreux roadmaps produit.
3. Biais algorithmiques
Les biais ne sont pas un problème éthique abstrait, ils sont un risque réputationnel et réglementaire concret. Le PM doit s'assurer que les datasets d'entraînement sont auditables, que les outputs sont testés sur des sous-groupes représentatifs, et que les biais détectés déclenchent un processus de remédiation documenté, pas une note dans un coin de Notion.
4. Traçabilité des décisions
L'AI Act exige que les systèmes à haut risque génèrent des journaux permettant de retracer les décisions prises [4]. Le NIST AI RMF identifie la traçabilité comme un principe fondamental d'accountability [5]. Pour le PM, cela se traduit en critères d'acceptance concrets : l'utilisateur peut-il savoir pourquoi l'IA a pris cette décision ? L'équipe peut-elle retracer une erreur après coup ?
5. Responsabilité : qui en est responsable ?
C'est la question qu'on aborde rarement en revue de sprint, mais qui finit toujours par se poser en cas de crise. En l'état du droit européen, la responsabilité repose sur le déployeur du système IA, c'est-à-dire votre entreprise, pas le fournisseur de modèle. Ce point est critique dans les contrats fournisseurs et doit se refléter dans les clauses de responsabilité négociées avec les vendors.
Mon point de vue :
La vraie question de responsabilité n'est pas juridique, elle est organisationnelle. Dans la plupart des startups, quand un système IA produit un mauvais output, personne ne sait exactement qui aurait dû l'attraper. Le PM a défini le use case. L'ingénieur a choisi le modèle. Le data scientist a configuré les paramètres. Le juriste a validé les CGU. Résultat : tous sont responsables, donc personne n'est responsable. La gouvernance IA consiste précisément à cartographier ces zones d'ombre et à y assigner une ownership claire, avant, pas après.
La gouvernance comme infrastructure produit : le changement de paradigme
Selon l'enquête Responsible AI 2025 de PwC menée auprès de 310 dirigeants aux États-Unis, 58 % des organisations déclarent que les pratiques de Responsible AI améliorent le ROI et l'efficacité opérationnelle, et 55 % rapportent une amélioration de l'expérience client et de la capacité d'innovation [6]. La gouvernance n'est pas un frein à la vélocité, elle en est un accélérateur quand elle est bien construite.
La même enquête montre que seul un quart des organisations disposent d'une gouvernance IA pleinement opérationnelle [6]. La majorité a rédigé des politiques, mais peinent à les traduire en pratique quotidienne. 56 % des répondants indiquent que les équipes de première ligne (IT, engineering, data/IA) portent désormais la responsabilité principale du Responsible AI [6]. Ce mouvement va dans le bon sens, mais il présuppose que ces équipes ont un PM capable de traduire les principes en critères d'acceptance, en user stories, en tests.
Pour Product Led Alliance, un tiers des product leaders interrogés en 2026 déclarent avoir des préoccupations de gouvernance ou de conformité liées à l'IA dans leur organisation [7]. Et la barrière principale citée à l'opérationnalisation de la gouvernance ? La difficulté à traduire des principes en processus scalables [6].
C'est exactement le rôle du PM.
Par où commencer : la check-list du PM architecte
Si vous êtes PM dans une startup ou scaleup et que vous intégrez de l'IA dans votre produit, voici les cinq questions minimales à répondre avant tout déploiement :
- Cartographie : ai-je une liste exhaustive de tous les usages IA dans le produit, avec leur niveau de risque potentiel ?
- Ownership : qui est responsable si ce système produit un output erroné ou discriminatoire ? Est-ce documenté quelque part ?
- Données : est-ce que je sais précisément quelles données alimentent ce système, et est-ce que leur usage est conforme aux engagements pris envers mes utilisateurs ?
- Traçabilité : est-ce que je peux retrouver pourquoi le système a pris une décision donnée, 6 mois après les faits ?
- Supervision : où dans le flux existe-t-il un contrôle humain effectif, pas théorique ?
Gouverner l'IA, ce n'est pas ralentir l'innovation. C'est construire les conditions pour qu'elle dure.
Sources
-
Un avocat cité 6 fausses affaires inventées par ChatGPT, Développez.com, étaie : incident hallucination documenté, conséquences légales réelles
-
The State of AI Hallucinations in 2025, Maxim AI, étaie : statistiques sur taux d'erreur, retraits de contenu, human-in-the-loop, biais UNESCO/Scientific Reports
-
Which AI Hallucinates Least? June 2026 Benchmark Rates, Suprmind, étaie : benchmarks hallucination par modèle, taux de 22 % à 94 %
-
Calendrier AI Act 2026 : obligations et enjeux de conformité, Naaia, étaie : calendrier détaillé AI Act, obligations déployeurs, sanctions, paquet Omnibus
-
NIST AI Risk Management Framework, NIST, étaie : structure GOVERN/MAP/MEASURE/MANAGE, AI 600-1 profil GenAI
-
PwC's 2025 Responsible AI Survey: From Policy to Practice, PwC, étaie : ROI Responsible AI, maturité organisationnelle, ownership première ligne, barrières à l'opérationnalisation
-
Building an AI Governance Framework for Product Management, Product-Led Alliance, étaie : rôle du PM dans la gouvernance IA, 7 étapes, citations terrain (Andi McAleer/FT, Nassim Tayari/IBM), tiers de responsabilité