Sommaire

En avril 2023, Samsung Electronics a divulgué des données confidentielles via ChatGPT trois fois en 20 jours — code source de semi-conducteur, code de correction d'équipements défectueux et transcription complète d'une réunion interne — tout cela envoyé sur les serveurs d'OpenAI à l'instant même où les employés l'ont collé, impossible à récupérer. Samsung a immédiatement banni ChatGPT, Bing et Bard dans toute l'entreprise. JPMorgan, Goldman Sachs, Citi, Bank of America et Wells Fargo ont déployé des interdictions similaires dans la même fenêtre.

Trois ans plus tard, « l'interdire » ne fonctionne plus en 2026. Les employés utilisent ChatGPT sur leur téléphone, les ingénieurs codent avec Claude Code, le marketing construit des présentations dans Gemini — interdire ne fait que générer du shadow AI (usage non autorisé). De plus, les règles sur les systèmes à haut risque de l'EU AI Act entrent pleinement en vigueur le 2 août 2026, et les infractions sont passibles de sanctions allant jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial. Vous ne pouvez ni interdire, ni ignorer. La seule voie qui reste est « fixer un cadre par une directive et activement permettre un usage sûr ».

Ma position d'emblée. « Personne ne lit un PDF épais de directives » a l'air juste, mais c'est une fausse conclusion. Le but d'une directive n'est pas d'être lue — c'est de rendre les responsabilités explicites en cas d'incident et de graver dans la tête des employés le minimum non négociable. Cet article couvre les sept points requis, les cinq catégories de données interdites en entrée, l'échéance de l'EU AI Act, la feuille de route en cinq phases et les pièges — le tout avec le détail pratique dont vous aurez besoin en mai 2026.

GOUVERNANCE IA D'ENTREPRISE

Interdire ou ignorer — les deux perdent. La directive est la troisième voie

— Prévenir les fuites × booster la productivité × rester conforme

(1) RISQUE DE FUITE
Samsung : 3 en 20 jours
Les employés le traitent comme un outil utile, collent des secrets — et il n'y a pas de retour en arrière. Les interdictions ne font qu'élargir les failles
(2) CONFORMITÉ
EU AI Act, 2 août 2026
Règles IA à haut risque pleinement en vigueur. Sanctions jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial
(3) PRODUCTIVITÉ
L'interdiction coûte 30 à 50 %
Gains clairs en ingénierie, commercial, marketing. Le coût d'une interdiction comme décision de direction est trop élevé
(4) RÉPONSE
Directive à 7 points
Liste approuvée, données interdites, responsabilité, formation, audit. Deux semaines pour déployer à partir d'un modèle

Modèle 2023 : « interdiction généralisée » pour esquiver le risque → Modèle 2026 : « exploitation sûre dans un cadre » pour la prévention des fuites + la productivité + la conformité, les trois à la fois.
Pas besoin d'un PDF épais. Deux pages A4 plus une liste approuvée suffisent.

1. Avril 2023 — Samsung a banni l'IA en 20 jours

La séquence est simple. En mars, la division semi-conducteurs de Samsung a autorisé l'usage interne de ChatGPT. Au cours des 20 jours suivants en avril, trois fuites confidentielles se sont succédé. (1) L'employé A a collé le code source complet d'une base de données de semi-conducteurs défectueuse dans ChatGPT et a demandé une correction. (2) L'employé B a fait de même avec du code de correction pour des équipements de fabrication défectueux. (3) L'employé C a collé une transcription complète de réunion interne et a demandé un compte rendu. Les trois, à cet instant, ont atteint les serveurs d'OpenAI et peuvent avoir été utilisés comme données d'entraînement.

Samsung a immédiatement bloqué ChatGPT, Bing et Bard sur tous les appareils appartenant à l'entreprise, et sur les appareils personnels lorsqu'ils étaient connectés au réseau d'entreprise. À peu près au même moment, les grandes firmes financières — JPMorgan, Goldman Sachs, Citi, Bank of America, Wells Fargo, Deutsche Bank — ont émis des interdictions similaires. C'est le moment où la tendance « les entreprises bannissent l'IA » a démarré.

En 2026, Samsung interdit toujours ChatGPT et a construit son propre LLM interne appelé « Samsung Gauss ». C'est une voie légitime, mais l'échelle d'investissement est trop importante pour être copiée par les ETI et en dessous. Pour tous les autres, la seule voie est « utiliser en toute sécurité les services d'IA commerciaux dans le cadre d'une directive ».

2. Pourquoi vous avez besoin d'une directive maintenant — trois pressions

Pression (1) Réglementation
EU AI Act règles à haut risque pleinement en vigueur le 2 août 2026. La révision des directives japonaises pour opérateurs d'IA (METI) est également en cours de déploiement
Pression (2) Shadow AI
Interdisez et les employés l'utilisent sur leur téléphone. Situations « l'usage non autorisé est bien plus dangereux » — invisibles pour l'entreprise
Pression (3) Concurrence
Les entreprises qui utilisent l'IA sont 30 à 50 % plus productives. Une interdiction vous fait perdre la course au recrutement et la course commerciale

Des trois, le shadow AI est en réalité le plus grave, à mon sens. Samsung a presque eu de la chance dans la mesure où « la fuite s'est produite sur un canal approuvé par l'entreprise, ils pouvaient donc la voir ». Dans la plupart des entreprises, un employé qui colle des notes de réunion nommant des clients dans ChatGPT depuis son téléphone n'est jamais signalé. « Ne pas pouvoir le voir » est le pire type de risque, et la seule façon d'y remédier est de construire un canal officiel que l'entreprise peut observer — ce qui passe par une directive.

3. Le modèle à sept points — remplissez-les et vous êtes couvert

Pas un PDF épais — un modèle à sept points qui tient sur deux pages A4. L'objectif est un niveau de détail tel que vous puissiez commencer aujourd'hui et le distribuer d'ici le week-end.

(1) IA approuvées
Lister les outils autorisés spécifiques
Nommez-les : « ChatGPT Team », « Claude Enterprise », « Microsoft Copilot ». Les plans personnels ne sont pas autorisés par défaut (utilisés pour l'entraînement). Plans business ou API uniquement
(2) Données interdites
Cinq catégories avec exemples (section suivante)
PII, informations confidentielles, données sous NDA, propriété intellectuelle, données réglementées. Le cœur de la prévention des fuites façon Samsung
(3) Cas d'usage
Trois niveaux : autorisé / revue requise / interdit
Autorisé : résumé d'informations publiques, assistance au code, traduction. Revue : brouillons clients, brouillons de contrats. Interdit : décisions d'embauche, évaluations RH, décisions juridiques
(4) Responsabilité de sortie
« C'est l'IA qui l'a écrit » n'est pas une défense
Vérification des faits, validation des droits d'auteur et approbation de publication pour la sortie IA reposent sur l'utilisateur. La leçon de l'affaire du remboursement du chatbot IA d'Air Canada (tribunal canadien, 2024)
(5) Signalement d'incident
Ne punissez pas les « saisies accidentelles »
Un formulaire de signalement immédiat pour quand des données confidentielles sont entrées par accident. Les dissimulations coûtent infiniment plus cher. Indiquez par écrit : « le signalement ne déclenche pas de discipline »
(6) Formation et mises à jour
À l'onboarding plus une fois par an, minimum
Module e-learning de 30 minutes plus un test de compréhension. Le paysage de l'IA évolue tous les six mois, donc prévoyez des révisions de la directive tous les 6 à 12 mois
(7) Journaux d'audit
Conserver les journaux d'usage six mois minimum
Les plans business exposent les journaux d'usage via les consoles d'administration. Rendez traçable « qui a entré quoi, et quand ». Satisfait l'EU AI Act Article 12 (journalisation des événements)

Parmi ceux-ci, « (2) données interdites » et « (5) signalement d'incident » sont les deux points qui déterminent si la directive fonctionne réellement. (1)(3)(4)(6)(7) sont des éléments que tout rédacteur raisonnable peut remplir. Mais écrire « ce que vous ne pouvez pas entrer » avec des exemples concrets, et affirmer par écrit « nous ne punirons pas les saisies accidentelles » — cela demande de la résolution. Choisissez une culture punitive et les employés dissimulent, et alors vous ne pouvez plus du tout voir les fuites.

4. Cinq catégories de données interdites en entrée — avec exemples

« N'entrez pas d'informations confidentielles » est trop vague pour porter. Écrivez cinq catégories, chacune avec des exemples.

Catégorie Exemples (ne pas entrer) Alternative
(1) PII Noms, adresses, téléphones, e-mails, identifiants employés, identifiants nationaux Remplacer par « Client A », « Utilisateur B » avant saisie
(2) Informations confidentielles Résultats financiers non publiés, stratégie, M&A, données RH Abstraire les chiffres (« chiffre d'affaires en hausse de XX % en glissement annuel », etc.)
(3) Sous NDA Données clients sous NDA, clés API, identifiants SSO Ne pas entrer du tout. Utiliser un LLM interne ou API business avec contrat no-train
(4) Propriété intellectuelle Code source non publié, designs de brevets en pré-dépôt, algorithmes propriétaires Leçon de Samsung : abstraire les parties concernées, ou limiter au LLM interne
(5) Réglementées Données médicales identifiables, détails de transactions financières, données de recherche non publiées Utiliser une IA on-prem spécifique au secteur (conforme HIPAA/GxP)

Le détail critique est que vous associez toujours des « alternatives » aux interdictions. Écrivez « ne pas entrer » seulement, et les employés décident « je ne peux pas faire mon travail avec l'IA », puis commencent à l'utiliser en cachette. Fournissez une alternative comme « remplacez les noms de personnes par « Client A » et vous pouvez l'entrer » et ils empruntent la voie autorisée. C'est le levier pratique pour réduire le shadow AI.

5. EU AI Act — l'échéance du 2 août 2026

L'EU AI Act réglemente les systèmes d'IA selon quatre niveaux de risque. Les règles sur les « systèmes à haut risque » entrent pleinement en vigueur le 2 août 2026, après quoi l'exploitation s'accompagne d'obligations strictes.

Niveau de risque Exemples Obligations Sanction
Interdit Notation sociale, manipulation subliminale, reconnaissance des émotions au travail L'usage est interdit Jusqu'à 35 M€ ou 7 % du CA
Haut risque Décisions d'embauche, scoring de crédit, évaluation éducative, diagnostic médical, décisions judiciaires Documentation technique, gestion des risques, supervision humaine, conservation des journaux (Art. 9/11/12) Jusqu'à 15 M€ ou 3 % du CA
Risque limité Chatbots, deepfakes Obligation de transparence (divulguer la génération par IA) Jusqu'à 15 M€ ou 3 % du CA
Risque minimal Filtres anti-spam, PNJ IA dans les jeux Aucune (bonnes pratiques recommandées)

Malentendu fréquent : même sans implantation dans l'UE, si vous traitez des données de citoyens de l'UE, vous êtes dans le périmètre. Les entreprises japonaises ayant des clients européens doivent se conformer à l'EU AI Act. En revanche, « un employé utilisant ChatGPT pour traduire » est clairement à risque minimal et n'a pas d'obligations particulières. « Décisions d'embauche automatisées sur les dossiers de candidature » ou « décisions automatiques d'approbation de prêt par IA » est sans ambiguïté à haut risque ; après le 2 août 2026, la documentation technique, la supervision humaine et la conservation des journaux deviennent des obligations légales. Si vous avez ce type de travail, ajoutez à la directive interne : « tout usage à haut risque requiert l'approbation juridique avant déploiement ».

6. Feuille de route de déploiement en cinq phases

Rédiger la directive n'est pas la fin. Une feuille de route qui prend 2 à 3 mois pour une ETI (jusqu'à 200 salariés) et environ 6 mois pour une grande entreprise.

PHASE 1 · 2 semaines
Établir un état des lieux
Enquête employés pour comprendre « ce que les gens utilisent réellement aujourd'hui ». Faire émerger la réalité du shadow AI
PHASE 2 · 4 semaines
Former un comité ; rédiger
Une personne chacun du juridique, de la sécurité info, des RH et des unités opérationnelles. Utiliser le modèle à sept points comme brouillon de départ
PHASE 3 · 2 semaines
Signer les contrats business
Achat groupé des produits de la liste approuvée en plans Team/Enterprise. Rendre physiquement moins courant l'usage des plans personnels
PHASE 4 · 4 semaines
Annoncer et former
Briefing général, e-learning, test de compréhension. Viser 90 % et plus de complétion
PHASE 5 · en continu
Exploiter et réviser tous les six mois
Revues des journaux d'audit plus analyse d'incidents. Réviser la directive tous les six mois pour suivre le rythme du paysage IA
En parallèle
Traitement spécial pour les travaux à haut risque
Pour le recrutement, le scoring de crédit, le diagnostic médical et autres domaines à haut risque de l'EU AI Act, construire une documentation technique et des systèmes de supervision séparés

Dans tout ça, la PHASE 1 (l'enquête) passe absolument en premier. Construisez une directive en partant du principe « interdisez-le et personne ne l'utilise » et vous finissez avec quelque chose de déconnecté de la réalité. Lancez une enquête anonyme demandant « quels services d'IA avez-vous utilisés le mois dernier ? quels types de données avez-vous saisis pour le travail ? » et le shadow AI se révélera environ trois fois supérieur à ce que vous attendiez. Connaître la réalité avant d'écrire les règles est le bon ordre des opérations.

7. Trois pièges à éviter absolument

Piège (1) : Partir sur une interdiction généralisée

Pour toute entreprise qui n'est pas Samsung, cela provoque presque toujours une explosion de shadow AI. Les employés utilisent ChatGPT Personal sur leur téléphone, l'entreprise n'a aucune visibilité, et quand une fuite se produit personne ne la signale. Le vrai coût d'une interdiction est « perdre la visibilité ». Samsung a pu construire Samsung Gauss en interne parce qu'ils disposaient de la profondeur de banc d'une entreprise de semi-conducteurs de premier rang. Pour les ETI et en dessous, « fournir un canal autorisé via une directive » est la réponse pratique.

Piège (2) : Concevoir autour de la punition

« Tout employé qui entre des données confidentielles encourt des sanctions disciplinaires » signifie tout employé qui entre accidentellement des données confidentielles le dissimule. La fuite se produit, l'entreprise ne le sait pas, les données client finissent à l'extérieur, le client le signale, et votre réputation s'effondre — la pire trajectoire. Mettez par écrit : « les violations de la directive ne sont pas punies si elles sont signalées ». Puis faites que « seul le défaut de signalement est motif de sanction », et le signalement d'incident commence à fonctionner, étrangement.

Piège (3) : L'écrire une fois et tourner les talons

L'industrie de l'IA change ses hypothèses tous les six mois. Une directive de 2024 disant « l'usage de ChatGPT est interdit » a des ingénieurs qui font tourner Claude Code et raisonnent en arrivant à « ce n'est pas ChatGPT, donc c'est bon ». Les produits et modèles nommés doivent être révisés tous les 6 à 12 mois. Qu'un nouveau service (Cursor / Perplexity / Notion AI) soit approuvé ou interdit doit être explicite pour que les employés n'aient pas à deviner. Y compris l'affaire Wayfair de l'article précédent (077), traitez « la directive comme un document vivant ».

Synthèse

Principe
« Interdire ou ignorer — les deux perdent ». Fixez un cadre avec une directive et exploitez en sécurité. C'est la réponse 2026
Sept points requis
IA approuvées / données interdites / cas d'usage / responsabilité / signalement / formation / journaux. Deux pages A4 suffisent
Échéance
EU AI Act, 2 août 2026 — haut risque pleinement en vigueur. Sanctions jusqu'à 7 % du chiffre d'affaires mondial
Éviter les pièges
Pas d'interdiction généralisée, pas de conception punitive, pas de « one-and-done ». Réviser tous les six mois

Trois ans après les fuites Samsung de 2023, l'usage de l'IA en entreprise est passé du binaire « interdire ou autoriser » à la phase de mise en œuvre de « comment fixer un cadre et exploiter à l'intérieur ». Coincés sur trois fronts par le risque juridique (EU AI Act), le risque de fuite (leçon Samsung) et le risque concurrentiel (écart de productivité de 30 à 50 %), il n'y a pas le temps d'écrire un PDF épais, et « aucune directive du tout » ne fonctionne pas non plus. Le modèle à sept points plus la feuille de route en cinq phases de cet article permettront à une ETI de déployer en 2 à 3 mois. « Exploitation sûre maximale avec le cadre minimal » — voilà la réponse pratique de gouvernance IA pour 2026.

FAQ

Faut-il interdire l'IA dans l'entreprise ?

Par défaut, non, vous ne devez pas l'interdire. À moins d'être une entreprise de classe Samsung capable de construire son propre LLM interne, interdire ne fait qu'accroître le volume de shadow AI (employés l'utilisant seuls), et le risque de fuite augmente en conséquence. Fixer un cadre par une directive et fournir des plans business (Team/Enterprise) sur un contrat d'entreprise est la réponse pratique.

L'EU AI Act s'applique-t-il aux entreprises japonaises ?

Oui, si vous traitez des données de citoyens de l'UE ou fournissez des services d'IA à l'intérieur de l'UE. Le travail entièrement contenu au Japon (comme la traduction pour le personnel interne uniquement) est à risque minimal et ne comporte presque aucune obligation, mais si vous exécutez des approbations de prêt, des décisions d'embauche ou des diagnostics médicaux sur des clients européens via l'IA, la documentation technique, la supervision humaine et la conservation des journaux deviennent des obligations légales après le 2 août 2026. Sanctions jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial.

Combien de pages doit faire la directive ?

Deux pages A4 pour le corps plus quelques pages d'annexes (liste approuvée, exemples de données interdites) fonctionne bien. « Personne ne lit un PDF épais » est vrai, gardez donc le corps comme un résumé et déportez le détail en annexes pour réduire la charge du lecteur. Ce qui compte n'est pas le nombre de pages — c'est que « (2) données interdites » et « (5) signalement d'incident » soient concrets et psychologiquement sûrs.

Quelle est la différence entre plans personnels et business ?

Les plans business (ChatGPT Team / Claude Enterprise / Microsoft Copilot Business, etc.) prévoient par défaut de ne pas utiliser vos données d'entrée pour l'entraînement des modèles (no-train). Les plans personnels (ChatGPT Plus et similaires) peuvent être utilisés pour l'entraînement. Précisez dans la directive « l'usage professionnel est limité aux seuls plans business » et vous réduisez fortement le risque de fuite façon Samsung. La tarification est d'environ 20 à 60 $ par utilisateur et par mois.

Vraiment — ne pas punir les saisies accidentelles, c'est correct ?

Oui, c'est le cœur du sujet. Punissez et les employés dissimulent, l'entreprise perd en visibilité, et cette fuite invisible déclenche les pires résultats (signalements clients, fuites sur les réseaux sociaux, intervention du régulateur). Concevez comme « signalez et vous n'êtes pas puni ; les dissimulations sont sanctionnées » et, étrangement, le signalement d'incident augmente et vous pouvez intervenir tôt. C'est la même logique que la culture de sécurité dans l'aviation.

Une petite startup en a-t-elle besoin aussi ?

Oui. Les petites entreprises devraient en réalité le faire plus tôt — intégré à la culture dès le départ, cela tient mieux que quelque chose ajouté plus tard. À 10–30 salariés vous pouvez prendre le modèle à sept points de cet article tel quel et rédiger le corps en un jour, finir le déploiement en une semaine. Avoir « une directive d'usage de l'IA en place » devient aussi un point de checklist de base en due diligence quand vous signez avec des investisseurs ou de grands clients (en particulier clients UE).