Gouvernance IA : comment faire évoluer le rôle du DPO ?
L’intelligence artificielle s’impose aujourd’hui comme une révolution majeure dans le fonctionnement des organisations. Cette vague technologique transforme en profondeur les processus métiers et les modes de décision. Face à cette accélération, la mise en place d’une gouvernance de l’IA devient indispensable pour s’assurer de sa conformité.
Ce besoin est amplifié par l’entrée en vigueur progressive du Règlement européen sur l’IA (ci-après « AI Act »), entré en vigueur le 1er août 2024. Son application est échelonnée sur plusieurs années, avec notamment des obligations renforcées pour les systèmes d’IA à haut risque, applicables à partir d’août 2026.
Dans ce contexte, la question de la responsabilité de la conformité IA se pose. Le Délégué à la protection des données (DPO) peut-il endosser ce rôle ? Ou convient-il de structurer une fonction dédiée ?
Le DPO, candidat naturel au rôle d’AI Compliance Officer
Une légitimité fondée sur une méthodologie similaire et une vision transversale
Le DPO dispose d’atouts indéniables pour occuper une place stratégique dans la gouvernance de l’IA. Sa méthode de travail présente de nombreuses similitudes avec celle attendue d’un « AI Compliance Officer » : cartographie des traitements, mise en œuvre de la conformité dès la conception d’un projet, approche par les risques et responsabilisation des opérationnels. Ces pratiques éprouvées dans le cadre du RGPD peuvent constituer une base solide pour aborder les enjeux de conformité IA.
Par ailleurs, sa connaissance des traitements de données offre une vision transverse du système d’information. Elle facilite l’identification des systèmes d’intelligence artificielle et l’évaluation de leurs impacts.
Un positionnement adapté aux enjeux réglementaires
Sur le plan réglementaire, la position du DPO apparaît pertinente. Le RGPD s’applique pleinement aux systèmes d’IA qui traitent des données personnelles, ce qui concernera la majorité des solutions déployées. Puisqu’il sera amené à se pencher sur les systèmes d’IA dans le cadre de ses missions RGPD, il peut tirer profit de cette analyse pour étudier leur conformité à l’AI Act.
Enfin, le positionnement du DPO et les instances de gouvernance existantes permettent une remontée structurée des risques auprès des directions. Ce rôle d’alerte constitue un levier clé pour sécuriser les usages de l’IA.
Les écueils à éviter dans l’élargissement du rôle du DPO
Le risque de surcharge opérationnelle
Cette légitimité ne doit toutefois pas occulter certains risques.
La conformité IA suppose des compétences techniques spécifiques, notamment en matière de modèles algorithmiques, de qualité des données et de robustesse des systèmes. Sans moyens adaptés, l’élargissement du périmètre du DPO risque de fragiliser l’exercice de ses missions. Or, le RGPD impose que les ressources allouées soient proportionnées.
Toute extension du rôle doit donc s’accompagner d’un ajustement organisationnel clair, incluant des expertises complémentaires et une priorisation des activités.
Un risque pour l’indépendance du DPO
Le second écueil est plus profond : il touche à l’indépendance du DPO. Le RGPD impose que le DPO n’intervienne pas dans la détermination des finalités et des moyens des traitements de données, afin de préserver sa capacité à en contrôler la conformité. Ce principe doit être scrupuleusement respecté dans le cadre de toute gouvernance IA.
Or, les organisations pourraient être tentées de confier au DPO un rôle opérationnel dans la conception ou le déploiement des systèmes d’IA.
Une telle configuration créerait un conflit de rôles.
Le DPO doit conserver une posture d’évaluateur et de conseil, non de décideur. La gouvernance IA doit donc être structurée dès l’origine pour préserver cette indépendance.
Un rôle central, mais parmi d’autres acteurs de la gouvernance IA
Une gouvernance nécessairement pluridisciplinaire
Pour dépasser ces limites, une approche collective s’impose.
La gouvernance de l’IA repose sur une logique pluridisciplinaire. Le DPO peut y jouer un rôle de pivot en matière de conformité, sans en être l’unique responsable.
Concrètement, il peut assurer la coordination de la démarche de conformité IA, veiller à l’articulation avec les obligations RGPD, animer le réseau de correspondants et remonter les alertes à la direction. Au-delà de ces rôles, d’autres acteurs doivent intervenir.
De plus, la conformité IA dépasse le seul périmètre du RGPD et de l’AI Act. Elle englobe des dimensions variées qui appellent des expertises complémentaires, que d’autres acteurs doivent porter dans la gouvernance. Par exemple, la gouvernance doit faire intervenir le RSSI pour tout ce qui concerne la sécurité. De même, la direction juridique ne peut être absente de cette gouvernance, dans la mesure où une contractualisation avec les fournisseurs sera nécessaire et que d’autres règles demeurent applicables (propriété intellectuelle, secret des affaires…). Il est également possible de mentionner les ressources humaines, en charge de la formation sur ces sujets, ainsi que les directions métiers et techniques.
Un rôle à adapter au contexte organisationnel
Il n’existe pas de modèle unique : le rôle du DPO doit dépendre de l’existence préalable d’une direction de la data, du rôle du RSSI, de l’existence d’un comité d’éthique, etc. L’enjeu n’est pas de figer une organisation cible, mais d’installer une dynamique progressive.
Une approche pragmatique consiste à tester la gouvernance sur des cas d’usage, puis à ajuster les modalités de pilotage : fréquence des comités, niveau de formalisation, outils de suivi.
Positionner le DPO comme pivot de la gouvernance de la conformité IA constitue une option pragmatique. Cela permet de capitaliser sur une expertise existante tout en assurant une continuité réglementaire forte. Toutefois, la conformité IA ne peut reposer sur un acteur unique. Elle suppose une gouvernance structurée, évolutive et pluridisciplinaire.
L’enjeu dépasse la seule conformité réglementaire : il s’agit de sécuriser durablement le développement et l’usage de l’intelligence artificielle au sein des organisations.
Article rédigé par Matthieu POLAINA et Alban de HAUT DE SIGY