La Responsabilité S’arrête Nulle Part : Au Cœur du Vide de Responsabilité de l’IA
Réalité du rejet: Les systèmes d’IA rejettent des candidatures sans révision humaine, soulevant des questions sur la responsabilité juridique.
Fossé de gouvernance: La gouvernance de l’IA manque de responsabilité claire, car les politiques n’attribuent pas la propriété des impacts des décisions.
Responsabilité de l’IA: Les tribunaux s’interrogent sur qui doit surveiller les décisions de l’IA, tenant les employeurs responsables des résultats discriminatoires basés sur l’IA.
Mauvais alignement des politiques: Les politiques existantes n’arrivent pas à s’adapter aux évolutions de l’organisation, générant des problèmes de gouvernance pour les outils d’IA.
Enjeux juridiques: La loi sur l’IA du Colorado établit un précédent en matière de responsabilité, influençant les décisions d’embauche et les normes juridiques à l’échelle nationale.
À 1h50 du matin, Derek Mobley a reçu une réponse négative. Il avait postulé moins d'une heure auparavant. Aucun recruteur n'avait examiné son CV, aucun responsable RH n'avait évalué son expérience.
Le système l’a traité, a prononcé un verdict, puis est passé à la suite avant même que quiconque dans l’entreprise n’ait commencé sa journée de travail. Mobley, qui est Noir et a plus de quarante ans, postulera à plus d’une centaine d’emplois via la plateforme de Workday et sera rejeté à chaque fois.
La plainte qu’il a déposée en 2023 est aujourd’hui une action collective nationale certifiée, susceptible d’inclure des centaines de millions de candidats. Workday affirme qu’il n’est pas l’employeur, ce qui est techniquement vrai. Les employeurs disent qu’ils ne prenaient pas les décisions, ce qui est aussi techniquement vrai. Un tribunal fédéral a décidé que le fait que ces deux éléments coexistent pose précisément problème.
Keep Reading—and Keep Leading Smarter
Create a free account to finish this piece and join a community of forward-thinking leaders unlocking tools, playbooks, and insights for thriving in the age of AI.
Have an account? Log In
Lorsqu’une plateforme exerce un jugement, non seulement en appliquant des critères mais aussi en participant à la décision, elle agit en tant qu’agent de l’employeur. Par conséquent, l’employeur hérite de la responsabilité. Ce que les tribunaux examinent aujourd’hui, ce n’est pas de savoir si l’IA a pris une mauvaise décision. C’est qui était censé la surveiller.
Cette question atterrit sur le bureau des DRH. Non pas parce qu’ils s’y sont portés volontaires, et certainement pas parce qu’ils ont l’autorité, le budget ou l’infrastructure juridique pour y répondre. Mais parce que quelqu’un doit le faire, et qu’ils sont ce qui s’approche le plus, dans la plupart des organisations, d’un responsable du risque humain généré à grande échelle par l’IA.
Partagé Partout, Responsable Nulle Part
Sean McIntire, directeur juridique chez PEBL, a vu des organisations élaborer des politiques d’IA avec un réel sérieux, pour ensuite les voir se dissoudre entre la direction exécutive et les personnes qui prennent effectivement les décisions.
« Partagé partout, responsable quelque part », a-t-il déclaré lors d’une table ronde sur le risque lié à l’IA lors de la conférence Transform à Las Vegas cette semaine. La formulation ressemble à une solution. Ce n’en est pas une.
Il fait le parallèle avec le RGPD. Lorsque cette réglementation a débarqué, les entreprises se sont ruées. Beaucoup n’avaient aucune idée claire d’où se trouvaient leurs données personnelles, qui les traitait, ni quelles étaient réellement leurs obligations.
Le chaos était réel, mais il a aussi servi d’effet déclencheur. Les organisations qui s’en sont sorties avec de solides programmes de gouvernance des données n’étaient pas seulement devenues conformes, elles avaient bâti une infrastructure qui s’est révélée durable.
L’argument de McIntire est que l’IA se trouve au même stade pré-déclencheur, et que la plupart des entreprises réagissent exactement comme avant l’arrivée du RGPD : elles répondent à la menace visible, tandis que le problème structurel sous-jacent demeure.
Ce problème structurel, pour le dire simplement, est le suivant. Les outils d’IA ont investi le lieu de travail principalement par la porte de l’efficacité, menant à des recrutements plus rapides, à des indicateurs de performance automatisés, au benchmarking des rémunérations et à des boucles de feedback continues.
Les organisations qui les déploient ont traité l’acquisition et la gouvernance comme deux problèmes séparés. Le service juridique a examiné les contrats. Le service informatique a approuvé la sécurité. La direction financière a validé le budget. Les RH ont reçu le déploiement et ont dû s’en charger.
Ce que personne n’a clairement défini, c’est qui était responsable lorsqu’un outil prenait une décision lourde de conséquences portant préjudice à quelqu’un.
La façon dont McIntire formule la question résume bien le problème. La gouvernance de l’IA, dans la plupart des organisations, est volontairement diffuse. Il existe une politique. Il existe un groupe de travail. Il existe des lignes directrices d’utilisation. Ce qui n’existe pas, c’est une personne désignée disposant à la fois de l’autorité et des ressources nécessaires pour être tenue responsable lorsque quelque chose tourne mal.
Le Comité n’est pas là à 2h du matin
Les données rendent ce point concret. Un sondage de Gartner, mené auprès de plus de 1 800 dirigeants, révèle que 55 % des organisations déclarent désormais avoir un comité IA ou un conseil de surveillance dédié. Cela semble être un progrès jusqu’à ce que l’on considère l’indicateur correspondant fourni par McKinsey : seulement 28 % des organisations affirment que leur PDG assume la responsabilité directe de la surveillance de la gouvernance de l’IA.
Les conseils d’administration s’en sortent encore moins bien : seuls 17 % intègrent formellement la gouvernance de l’IA dans leurs chartes de comité.
Les comités existent. La responsabilité ne suit pas.
Vittoria Reimers, qui dirige la fonction RH chez Juniper Square et a élaboré l’un des modèles de gouvernance de l’IA les plus opérationnels que l’on puisse trouver dans une entreprise de taille intermédiaire, n’accorde pas beaucoup de poids aux seuls comités.
Votre première ligne de défense, ce sont vos collaborateurs et vos processus. Le comité de gouvernance ne sera tout simplement pas là pour la décision prise en une fraction de seconde par quelqu’un à 2h du matin.
Ce qu’elle met en lumière, c’est une réalité organisationnelle dont les cadres de gouvernance tiennent rarement compte. Les décisions qui génèrent le plus de risques ne se prennent pas dans les salles de comité. Elles sont prises par des ingénieurs qui développent une fonctionnalité sous contrainte de temps, par des managers qui s’appuient sur des alertes générées par l’IA pour recommander un licenciement, ou par des recruteurs qui font passer des candidats à travers des outils de présélection dont ils ne comprennent pas pleinement la logique sous-jacente.
L’appareil de gouvernance fonctionne à un niveau d’abstraction auquel le travail réel n’atteint pas.
Reimers a mis en place une réponse concrète à cela chez Juniper Square. Son équipe a créé ce qu’ils ont appelé ACE. Il s’agit d’environ dix à douze employés répartis dans l’organisation, agissant de façon informelle comme conseillers IA tout en conservant leur rôle habituel.
Le message était direct : si vous développez quelque chose et que vous ne savez pas si c’est sûr ou évolutif, allez voir ACE. L’adoption l’a étonnée. Les collaborateurs sont venus, régulièrement, car ils disposaient enfin d’un processus qui répondait aux véritables problèmes rencontrés, plutôt qu’un document de politique générale rédigé au-dessus d’eux.
Passez beaucoup de temps à définir votre politique d’utilisation, votre conseil de gouvernance, votre comité de gouvernance, a-t-elle dit. Puis consacrez-en dix fois plus à investir dans vos collaborateurs — leur accompagnement, leur formation, votre culture.
Le modèle ACE ne résout pas la question de la responsabilité au sommet de l’organisation. Mais il permet ce que la structure de gouvernance formelle ne sait pas faire : transférer la responsabilité là où les décisions sont réellement prises.
L’héritage des RH
Matt Poepsel aborde ce décalage sous un autre angle. En tant que Vice-président de l’optimisation des talents chez The Predictive Index, il travaille en étroite collaboration avec les responsables RH qui doivent naviguer entre les promesses de l’IA et ses résultats réels quand elle est déployée sans prendre en compte le contexte organisationnel.
Il raconte une période de sa propre carrière de manager où il lui manquait le contexte nécessaire pour bien diriger — où il a pris des décisions qu’il a ensuite regrettées, non par mauvaise intention, mais par manque d’informations complètes.
C’est selon lui exactement ce que fait l’IA aujourd’hui, à grande échelle, dans chaque organisation qui déploie un outil générique en espérant qu’il comprenne les spécificités de sa main-d'œuvre.
On dit qu’il faut garder l’humain dans la boucle. Moi je dirais qu’il faut garder les ressources humaines dans la boucle. Je vois les RH confrontées à la même difficulté que j’ai eue quand je me concentrais excessivement sur la dimension technique du problème.
Cette marginalisation est à la fois structurelle et historique. Les RH ont passé des années à s’efforcer de gagner leur place à la table de direction. Quand les outils d’IA sont arrivés, ils étaient souvent présentés comme un moyen pour les RH de démontrer le retour sur investissement à travers des cycles de recrutement plus rapides, une réduction des coûts de turnover et l’automatisation de la conformité.
Cette approche faisait des RH un bénéficiaire du déploiement de l’IA, et non un architecte. Les discussions sur la gouvernance — lorsqu’elles existaient — concernaient surtout le juridique, l’informatique et la finance. Les RH recevaient les outils. La responsabilité liée à ces outils était transférée ailleurs, ou restait sans réel porteur.
La critique de Poepsel est tranchante : une IA générique ne connaît pas votre organisation. Elle ne connaît ni votre culture, ni vos dynamiques comportementales, ni votre histoire, ni les populations spécifiques sur lesquelles elle intervient.
Elle produit alors des résultats qui paraissent convaincants, mais qui n’ont pas le contexte qu’un professionnel RH expérimenté intègre naturellement. Lorsqu’une IA signale un écart de performance, évalue un candidat ou recommande un ajustement de rémunération, elle s’appuie sur des schémas sans aucune connaissance de la personne jugée. Le responsable RH, présent dans l’organisation depuis trois ans, lui, la possède.
Si l’IA peut le faire, c’est par définition banalisé, a déclaré Poepsel. « Votre valeur ajoutée, c’est la différenciation. »
C’est inconfortable, mais essentiel. La valeur des RH dans une organisation assistée par l’IA ne réside plus dans l’exécution, car les outils peuvent désormais le faire plus rapidement. La véritable valeur est le jugement : savoir repérer quand un résultat est incorrect, quand le contexte prime, ou lorsqu’une décision a des conséquences que le modèle ne perçoit pas.
C’est justement ce jugement qui se trouve évincé des organisations qui déploient l’IA sans repenser les processus et les rôles autour d’elle.
Le levier juridique
Le 30 juin 2026, l’AI Act du Colorado entrera en vigueur, faisant de cet État la première juridiction aux États-Unis à imposer des obligations complètes de gouvernance aux développeurs comme aux utilisateurs de systèmes d’IA influençant des décisions ayant des conséquences sur l’emploi.
Les exigences sont considérables. Les employeurs doivent mettre en place des programmes documentés de gestion des risques, réaliser des évaluations annuelles d’impact, informer les employés lorsque l’IA a influencé une décision les concernant et signaler toute disparité discriminatoire au procureur général de l’État.
La loi recommande le NIST AI Risk Management Framework comme standard de conformité applicable. Elle s’applique quel que soit la taille de l’employeur.
Le Colorado pourrait ainsi dépasser son poids dans ce domaine. D’autres États observent la situation et le groupe de travail réglementaire convoqué par le Gouverneur Jared Polis est parvenu à un consensus unanime sur des révisions aussi récemment que ce mois-ci, ce qui signifie que la version définitive de la loi évolue encore, mais son ambition demeure intacte.
L’affaire Mobley montre pourquoi ce sujet dépasse les frontières du Colorado. Le tribunal n’a pas eu besoin d’une loi étatique sur l’IA pour estimer que Workday pouvait être tenu responsable en tant qu’agent des employeurs utilisant sa plateforme.
La théorie selon laquelle la participation à une décision importante crée une responsabilité partagée s’applique d’ores et déjà aux outils d’IA, sous les statuts fédéraux actuels interdisant la discrimination. Un employeur n’a pas besoin d’opérer au Colorado pour s’exposer à l’argument qu’il a délégué une décision d’embauche à un système ayant réellement exercé un jugement ; et que ce jugement a généré un résultat discriminatoire à 1h50 du matin, pendant que tout le monde dormait.
L’exposition juridique découle directement du vide de gouvernance. Un employeur incapable de démontrer qui a examiné l’outil d’IA avant son déploiement, qui surveille ses tendances discriminatoires et qui est responsable de ses sorties, ne dispose d’aucune défense crédible en cas de contestation d’une décision. Le comité s’est réuni mais personne ne surveillait la situation.
Redéfinir la répartition des responsabilités
Chelsea Gregory, de l’entreprise d’IA santé Suki, a récemment supervisé la refonte du manuel de l’employé. Lors de sa prise de parole à Transform, elle a donné une illustration concrète de la façon dont l’écart de gouvernance se présente avant de devenir un problème légal.
Une politique de congés flexibles qui fonctionnait très bien dans une petite équipe a commencé à générer des plaintes en matière d’équité alors que l’entreprise grandissait. Un manager accordait des congés prolongés à de nouveaux employés tandis que le personnel plus ancien avait le sentiment que la règle s’appliquait de façon inégale. Rien de malveillant, simplement la documentation n’avait pas suivi le rythme de la croissance de l’organisation.
La même dynamique s’observe avec les outils d’IA. Des politiques conçues pour un certain contexte de déploiement ne s’adaptent pas automatiquement avec la croissance de l’organisation, le changement d’effectif ou la mise à jour de l’outil.
Avez-vous la documentation et les processus appropriés en place ? Et comment vérifiez-vous qu’ils sont exacts et remplissent leur objectif ?
Dans la plupart des organisations, personne n’est formellement responsable de ces vérifications.
Combler cette lacune exige davantage qu’un meilleur document de politique. McIntire plaide pour l’intégration ; en d’autres termes, le risque IA ne doit pas rester en dehors du cadre global de gestion des risques de l’entreprise comme une catégorie à part. Il doit être ancré dans l’architecture de risques existante, avec la même clarté de responsabilité qui s’applique à toute autre exposition opérationnelle.
La question devient alors : est-ce que les personnes qui gèrent les processus de risques existants disposent de l’autorité, de la formation et de l’accès nécessaires pour les appliquer à l’IA ?
Reimers et Poepsel aboutissent à la même conclusion en partant de directions différentes. Le modèle ACE fonctionne parce qu’il place la responsabilité au niveau du terrain. Le modèle multiplicateur des RH fonctionne parce qu’il précise ce que les RH sont seules à pouvoir apporter : connaissance de l’organisation, contexte comportemental, capacité à mettre en regard la sortie d’un modèle avec l’humain réel qu’elle affecte. Aucun ne remplace la gouvernance formelle, mais chacun donne un vrai sens à la gouvernance formelle.
Ce que l’on demande aujourd’hui aux DRH, c’est d’assumer la responsabilité des décisions liées à l’IA sans même leur donner l’autorité nécessaire pour les gouverner ; et il s’agit moins d’un problème de talents que d’un échec structurel.
Les organisations qui considèrent la gouvernance comme une formalité continueront probablement à remplir des sièges dans des comités qui n'ont aucune véritable influence. Le véritable travail consiste à repenser la manière dont l'autorité en matière de gouvernance est répartie au sein de la direction générale, afin que la responsabilité et le pouvoir puissent avancer ensemble.
La recherche de Gartner pour 2025 est claire : moins d’un responsable informatique sur quatre se dit très confiant dans la capacité de son organisation à gérer la gouvernance lors du déploiement d’outils d’IA générative. Plus d’entreprises disposent de stratégies formelles sur le papier qu’à n’importe quel moment dans le passé. Très peu ont réussi à les rendre opérationnelles avec succès.
L’écart entre une politique et une structure de gouvernance avec une véritable reddition de comptes est là où réside le risque. C’est aussi, au vu de l’évolution des contentieux, là où porteront les prochaines poursuites judiciaires.