La Responsabilité S’arrête Nulle Part : Au Cœur du Vide de l’Accountability de l’IA
La Réalité du Rejet: Les systèmes d’IA rejettent les candidatures sans examen humain, soulevant des questions sur la responsabilité légale.
Lacune de Gouvernance: La gouvernance de l’IA manque de responsabilité claire, car les politiques n’attribuent pas la propriété des impacts décisionnels.
Responsabilité de l’IA: Les tribunaux questionnent qui doit surveiller les décisions de l’IA, rendant les employeurs responsables des résultats discriminatoires liés à l’IA.
Désalignement des Politiques: Les politiques existantes n’évoluent pas avec l’organisation, ce qui cause des problèmes de gouvernance avec les outils d’IA.
Implications Juridiques: La loi sur l’IA du Colorado crée un précédent pour la responsabilité de l’IA, influençant les décisions d’embauche et les standards juridiques dans tout le pays.
À 1 h 50 du matin, Derek Mobley a reçu une réponse négative. Il avait postulé moins d’une heure auparavant. Aucun responsable du recrutement n’avait examiné son CV, aucun recruteur n’avait évalué son expérience.
Le système l’a traité, a rendu un verdict et est passé à autre chose avant même que quiconque dans l’entreprise ait commencé sa journée de travail. Mobley, qui est Noir et a plus de quarante ans, postulerait à plus d’une centaine d’emplois via la plateforme Workday et serait rejeté à chaque fois.
La plainte qu’il a déposée en 2023 est désormais une action collective nationale certifiée, couvrant potentiellement des centaines de millions de candidats. Workday soutient qu’il n’est pas l’employeur, ce qui est techniquement exact. Les employeurs affirment qu’ils ne prenaient pas les décisions, ce qui est aussi techniquement exact. Un tribunal fédéral a estimé que le fait que ces deux réalités coexistent représente précisément le problème.
Keep Reading—and Keep Leading Smarter
Create a free account to finish this piece and join a community of forward-thinking leaders unlocking tools, playbooks, and insights for thriving in the age of AI.
Have an account? Log In
Lorsqu’une plateforme exerce un jugement, n’appliquant pas simplement des critères mais participant à la décision, elle agit en tant qu’agent de l’employeur. Ainsi, l’employeur hérite de la responsabilité. Ce que les tribunaux cherchent à comprendre aujourd’hui, ce n’est pas si l’IA a pris une mauvaise décision. C’est de savoir qui était censé la surveiller.
Cette question atterrit sur le bureau des DRH. Pas parce qu’ils s’en sont portés volontaires, et certainement pas parce qu’ils disposent de l’autorité, du budget ou de la structure juridique pour y répondre. Mais parce que quelqu’un doit le faire, et ils sont la personne la plus proche que la plupart des organisations aient pour assumer la gestion des risques humains que l’IA génère à grande échelle.
Partout détenu, nulle part responsable
Sean McIntire, directeur juridique de PEBL, a observé des organisations bâtir des politiques sur l’IA avec un réel sérieux, pour les voir ensuite se dissoudre quelque part entre la direction générale et ceux qui prennent concrètement les décisions.
« Partout détenu, responsable quelque part, » a-t-il déclaré lors d’une table ronde sur le risque IA à Transform à Las Vegas cette semaine. La formulation semble apporter une solution. Ce n’est pas le cas.
Il établit la comparaison avec le RGPD. Lorsque ce règlement est arrivé, les entreprises se sont précipitées. Beaucoup n’avaient aucune vision claire de l’emplacement de leurs données personnelles, de qui les traitait ni de quelles étaient réellement leurs obligations.
La confusion était bien réelle, mais elle a également agi comme un aiguillon. Les organisations qui en sont ressorties avec de solides programmes de gouvernance des données n’avaient pas seulement respecté la réglementation, elles avaient bâti une structure qui a révélé sa solidité dans le temps.
L’argument de McIntire est que l’IA se trouve à ce même moment, juste avant le passage à l’action, et que la majorité des entreprises se comportent exactement comme avant l’arrivée du RGPD : elles réagissent à la menace visible tandis que le problème structurel de fond demeure sans réponse.
Ce problème structurel, formulé simplement, est celui-ci. Les outils d’IA sont d’abord arrivés dans le monde du travail par la porte de l’efficacité, menant à des embauches plus rapides, des signaux de performance automatisés, du benchmarking de rémunération et des boucles de feedback continu.
Les organisations les ayant déployés ont traité les questions d’achat et de gouvernance comme deux problèmes distincts. Le service juridique examinait les contrats. L’IT validait la sécurité. La finance signait le budget. Les RH héritaient du déploiement et devaient le gérer.
Ce que personne n’a clairement établi, c’est à qui incombait le risque lorsque l’outil prenait une décision lourde de conséquences qui portait préjudice à quelqu’un.
La façon dont McIntire pose le problème résume parfaitement la situation. La gouvernance de l’IA, dans la majorité des organisations, est délibérément diffuse. La politique existe. Le groupe de travail existe. Les directives d’utilisation existent. Mais ce qui n’existe pas, c’est une personne identifiée dotée à la fois de l’autorité et des moyens pour rendre des comptes quand un incident se produit.
Le comité n’est pas là à 2 h du matin
Les données rendent cela concret. Un sondage Gartner auprès de plus de 1 800 cadres dirigeants a révélé que 55 % des organisations affirment disposer aujourd’hui d’un conseil ou d’un comité spécialement dédié à la supervision de l’IA. Cela semble aller dans le bon sens, jusqu’à ce que l’on regarde le chiffre correspondant de McKinsey : seulement 28 % des organisations disent que leur CEO assume directement la supervision de la gouvernance IA.
Pour les conseils d’administration, le constat est plus sévère : seuls 17 % ont officiellement intégré la gouvernance de l’IA à la charte de leurs comités.
Les comités existent. La responsabilité ne suit pas.
Vittoria Reimers, responsable des RH chez Juniper Square et à l’origine de l’un des modèles de gouvernance IA les plus rigoureux à l’échelle d’une entreprise de taille moyenne, n’accorde que peu de crédit aux seuls comités.
Votre première ligne de défense, ce sont vos collaborateurs et vos processus. Le comité de gouvernance ne sera tout simplement pas présent pour la décision qui se prend en une fraction de seconde à 2 heures du matin.
Ce qu’elle met en avant, c’est une réalité organisationnelle trop rarement prise en compte par les dispositifs de gouvernance. Les décisions qui génèrent le plus de risques ne sont pas prises en salle de comité. Elles le sont par des ingénieurs qui développent des fonctionnalités de modèles sous pression, par des responsables qui agissent sur des signaux de performance générés par l’IA pour recommander un licenciement, par des recruteurs qui utilisent des outils de sélection dont ils ne comprennent pas totalement la logique sous-jacente.
L’appareil de gouvernance opère à un niveau d’abstraction qui n’est pas celui du travail réel.
Reimers a élaboré chez Juniper Square une réponse pragmatique à ce constat. Son équipe a créé ce qu’ils ont appelé ACE : une dizaine à douzaine de salariés répartis dans l’organisation, qui jouent le rôle de conseillers informels sur l’IA tout en gardant leurs fonctions habituelles.
Le message était simple : si vous développez quelque chose et que vous ne savez pas si c’est sûr ou viable à l’échelle, venez voir ACE. Reimers a été surprise de l’engouement suscité. Les collaborateurs sont venus, régulièrement, car ils disposaient enfin d’un processus qui répondait à leurs réelles difficultés — non d’un document de politique générale déconnecté de leur quotidien.
Passez beaucoup de temps sur votre politique d’utilisation, votre conseil de gouvernance, votre comité de gouvernance, a-t-elle déclaré. Puis consacrez dix fois plus de temps à investir dans vos collaborateurs — leur développement, leur formation, votre culture.
Le modèle ACE ne résout pas la question de la responsabilité au sommet de l’organisation. Mais il permet ce que la structure de gouvernance formelle ne peut pas faire : il déplace la prise de responsabilité là où les décisions sont vraiment prises.
Ce qu’a hérité la DRH
Matt Poepsel s’est penché sur cet écart sous un autre angle. En tant que Vice-président de l’optimisation des talents chez The Predictive Index, il collabore étroitement avec les responsables RH qui naviguent entre les promesses de l’IA et ce qu’elle apporte réellement, lorsqu’elle est déployée sans tenir compte du contexte organisationnel.
Il raconte une période de sa propre carrière de manager, où il n’avait pas le contexte nécessaire pour bien diriger — et où il a pris des décisions qu’il a ensuite regrettées, non par mauvaise intention, mais par manque d’informations complètes.
C’est exactement ce qui se passe aujourd’hui avec l’IA à grande échelle, affirme-t-il, dans chaque organisation ayant déployé un outil générique en espérant qu’il saisirait les spécificités de ses effectifs.
On dit qu’il faut garder l’humain dans la boucle. Je dirais qu’il faut garder les ressources humaines dans la boucle. Je vois les RH lutter avec exactement le même problème que moi quand j’étais trop focalisé sur la partie technique de l’équation.
Cette marginalisation est à la fois structurelle et historique. Les RH ont passé des années à vouloir gagner leur place à la table stratégique. Quand les outils d’IA sont arrivés, ils ont souvent été présentés comme un moyen pour les RH de démontrer leur retour sur investissement par des cycles de recrutement plus courts, une réduction du coût de l’attrition et une automatisation de la conformité.
Cette approche a fait des RH des bénéficiaires du déploiement de l’IA, non des architectes de celui-ci. Les discussions de gouvernance, lorsqu’elles existent, impliquent généralement les services juridiques, IT et financiers. Les RH héritent des outils. Quant à la responsabilité de ces outils, elle est alors assumée ailleurs — ou nulle part.
La critique de Poepsel est limpide : une IA générique ne connaît pas votre organisation. Elle ne connaît pas votre culture, vos dynamiques comportementales, votre histoire, ni les publics spécifiques sur lesquels elle prend des décisions.
Ce qu’elle produit est un résultat à l’apparence plausible mais dépourvu du contexte que tout professionnel RH expérimenté perçoit instinctivement. Lorsque l’IA signale un profil de performance hors norme, note un candidat ou recommande un ajustement de rémunération, elle s’appuie sur des schémas étrangers à la réalité de la personne en face d’elle. Le responsable RH qui est présent depuis trois ans, lui, la connaît.
Si l’IA peut le faire, alors c’est par définition banalisé, a déclaré Poepsel. « Ce que vous lui apportez, c’est votre valeur ajoutée. »
C’est inconfortable, mais crucial. La valeur de la fonction RH dans une organisation assistée par l’IA ne réside pas dans l’exécution : les outils accomplissent cela plus rapidement. La valeur ajoutée est le jugement : savoir quand un résultat est erroné, quand le contexte compte, quand une décision entraîne des conséquences que le modèle ne peut percevoir.
C’est justement ce jugement qui est précisément évincé des organisations qui déploient l’IA sans repenser les processus et les rôles qui l’entourent.
Le Moteur de Contrainte Juridique
Le 30 juin 2026, la loi sur l’IA du Colorado entrera en vigueur. Elle devient la première loi d’un État américain à imposer des obligations complètes de gouvernance aux développeurs et utilisateurs de systèmes d’IA influençant des décisions d’emploi ayant des conséquences notables.
Les exigences sont importantes. Les employeurs doivent maintenir des programmes documentés de gestion des risques, réaliser des évaluations annuelles d’impact, notifier les employés lorsqu’une décision ayant une incidence sur eux a été influencée par l’IA, et signaler les résultats discriminatoires au procureur général de l’État.
La loi recommande le cadre de gestion des risques NIST AI Risk Management Framework comme norme de conformité opérationnelle. Elle s’applique quel que soit la taille de l’employeur.
Le Colorado pourrait bien avoir une influence démesurée ici. D’autres États observent, et le groupe de travail réglementaire constitué par le gouverneur Jared Polis est parvenu à un consensus unanime sur des révisions aussi récemment que ce mois-ci, ce qui signifie que la forme définitive de la loi évolue encore, mais pas son ambition.
L’affaire Mobley démontre pourquoi cela compte au-delà des frontières du Colorado. Le tribunal n’avait pas besoin d’une loi d’État sur l’IA pour établir que Workday pouvait être tenu responsable en tant qu’agent des employeurs utilisant sa plateforme.
La théorie de l’agence selon laquelle la participation à une décision ayant des conséquences crée une responsabilité partagée s’applique déjà aux outils d’IA, et ce, selon les lois fédérales anti-discrimination existantes. Un employeur n’a pas besoin d’exercer au Colorado pour faire face à l’argument selon lequel il a délégué une décision d’embauche à un système exerçant un véritable jugement, jugement qui a entraîné un résultat discriminatoire à 1h50 du matin, alors que tout le monde dormait.
L’exposition au risque juridique découle directement d’un vide de gouvernance. Un employeur incapable de démontrer qui a examiné l’outil d’IA avant le déploiement, qui le surveille pour déceler des schémas discriminatoires et qui est responsable de ses résultats, ne dispose d’aucune défense sérieuse lorsqu’une décision est contestée. Le comité s’est réuni. Personne ne regardait.
Réimaginer la Répartition des Responsabilités
Chelsea Gregory, de l’entreprise HealthTech Suki, a récemment supervisé une révision du livret du personnel. Elle a illustré lors du salon Transform comment l’écart de gouvernance apparaît avant même de devenir un problème légal.
Une politique flexible de congés payés, efficace avec une petite équipe, a généré des plaintes d’équité à mesure que l’entreprise s’agrandissait. Un manager approuvait des absences longues pour de nouveaux employés, tandis que le personnel plus ancien estimait que la politique était appliquée de façon incohérente. Il n’y avait aucune intention malveillante. La documentation n’avait simplement pas suivi l’évolution de l’organisation.
La même dynamique se retrouve avec les outils d’IA. Les politiques conçues pour un certain contexte de déploiement ne sont pas automatiquement adaptées lorsque l’organisation grandit, que la composition de la main-d’œuvre évolue ou que l’outil est mis à jour.
Avez-vous la documentation et les process adéquats en place ? Et comment vérifiez-vous leur exactitude et leur pertinence ?
Dans la plupart des organisations, personne n’est officiellement responsable de ces vérifications.
Combler cette lacune demande davantage qu’un meilleur document de politique interne. McIntire défend l’intégration : autrement dit, le risque lié à l’IA ne doit pas constituer une catégorie séparée et exotique en dehors du cadre de gestion des risques de l’entreprise. Il doit s’intégrer à l’architecture traditionnelle des risques, bénéficiant de la même clarté en matière d’attribution des responsabilités que toute autre exposition opérationnelle.
La question devient donc : les personnes responsables des dispositifs actuels de gestion des risques ont-elles l’autorité, la formation et l’accès organisationnel nécessaires pour les appliquer à l’IA ?
Reimers et Poepsel arrivent à la même conclusion par des voies différentes. Le modèle ACE fonctionne, car il place l’imputabilité au plus près du terrain. Le modèle-multiplicateur RH fonctionne, car il explicite ce que les RH offrent d’unique : la connaissance de l’organisation, le contexte comportemental, la capacité de confronter la sortie d’un modèle à la réalité humaine qu’elle impacte. Aucun ne remplace la gouvernance formelle. Les deux lui donnent du sens.
Ce que l’on demande actuellement aux DRH, c’est d’assumer la responsabilité des décisions liées à l’IA, sans toutefois leur donner l’autorité d’en assurer la gouvernance. Il s’agit là d’une défaillance structurelle qualifiée à tort de problème de talents.
Les organisations qui le traitent comme tel continueront probablement à remplir des sièges dans des comités sans réelle influence. Le véritable travail consiste à repenser la manière dont l'autorité de gouvernance est répartie au sein de la direction, afin que responsabilité et pouvoir avancent de pair.
Les recherches de Gartner pour 2025 sont claires : moins d'un leader informatique sur quatre se dit très confiant dans la capacité de son organisation à gérer la gouvernance lors du déploiement d'outils d'IA générative. Davantage d'entreprises disposent de stratégies formelles sur le papier qu'à n'importe quel moment par le passé. Très peu les ont effectivement mises en œuvre de manière opérationnelle.
Le fossé entre une politique et une structure de gouvernance avec une réelle responsabilité est là où résident les risques. C'est aussi, à en juger par la trajectoire actuelle des litiges, là où les prochaines poursuites judiciaires seront intentées.
