Et si la réglementation n’était pas un frein à la transformation par l’IA, mais un avantage stratégique ? Galen s’entretient avec Lauren Wallace — ancienne directrice juridique chez RadarFirst et experte en gouvernance juridique, produit et intelligence artificielle — pour explorer comment les secteurs réglementés peuvent mobiliser leurs acquis en matière de conformité pour devenir des leaders responsables à l’ère de l’IA.
Ils abordent les aspects pratiques pour bâtir des stratégies d’IA axées sur la confidentialité, poser des fondations éthiques claires et créer une dynamique interne au sein d’équipes pluridisciplinaires. Si vous pilotez une transformation digitale dans un environnement sous haute réglementation, cet épisode propose des conseils concrets et des enseignements éprouvés immédiatement applicables.
Ce que vous allez apprendre
- Pourquoi les secteurs réglementés disposent déjà parfois de l’infrastructure nécessaire pour réussir la transformation IA, et comment en tirer parti.
- Les éléments essentiels d’une stratégie IA axée sur la confidentialité — des valeurs à la gouvernance, jusqu’aux équipes pluridisciplinaires.
- Comment opérationnaliser des principes éthiques comme la transparence, la responsabilité et la réduction des biais dans des projets concrets, pas seulement sur une affiche.
- Des moyens concrets pour aligner les équipes internes, développer un vocabulaire commun et instaurer une culture du « nous sommes tous responsables » quand il s’agit de gestion des risques liés aux données et à l’IA.
- Un point de vue réaliste sur l’avenir : réglementation, contentieux, zones d’ombre — et ce qu’il faut prioriser dès maintenant plutôt que d’attendre une clarté parfaite.
À retenir
- Pensez à votre socle de stratégie de gestion des données : considérez-vous les données personnelles de vos utilisateurs comme votre ressource à exploiter ou comme votre responsabilité à protéger pour eux ? Changer ce regard transforme la façon dont vous construisez une IA responsable.
- Ne considérez pas la « conformité » comme une simple série de cases à cocher — il s’agit de transformer la gouvernance existante (confidentialité, sécurité, protection du consommateur) en tremplin pour l’IA. Si vous disposez déjà des contrôles, exploitez-les.
- Impliquez toute l’équipe (produit, ingénierie, juridique, marketing, expérience client, sécurité) dans les discussions sur l’IA dès le début. Ce n’est pas qu’une initiative « technique » ; c’est un débat d’entreprise sur la valeur, le risque et la confiance.
- Lors de l’évaluation d’un outil ou d’un modèle d’IA : demandez-vous « Quel est le cas d’usage ? Quel est le ROI ? Qui est responsable ? Comprenons-nous ce modèle ? Pouvons-nous défendre cette décision ? » Si ce n’est pas le cas — il faudra peut-être dire non.
- La culture et la formation sont essentielles. Des sessions régulières — « déjeuners-débats » sur l’IA éthique, retours d’expérience, échecs de transparence — développeront un vocabulaire commun et une conscience partagée pour éviter le travail en silos ou le retard à l’allumage.
- L’avenir n’attendra pas que la législation soit parfaite. Agissez selon vos valeurs dès maintenant. Définissez vos seuils de risque, impulsez l’exemple par la direction, et préparez-vous aux évolutions réglementaires ou contentieuses au lieu de les subir.
Chapitres
- 00:00 – La confidentialité comme droit humain
- 00:04 – La réglementation est-elle un obstacle ou un atout ?
- 00:08 – La confidentialité dès la conception comme fondation
- 00:13 – Modèles mondiaux de propriété des données
- 00:16 – Éléments d’une stratégie IA axée sur la confidentialité
- 00:26 – Cas d’usage : interne vs orienté client
- 00:30 – Développer la responsabilité à travers les équipes
- 00:34 – Collaboration transversale & culture d’équipe
- 00:46 – Perspectives d’avenir : réglementation & risque
- 00:48 – Conclusion & mot de la fin
Notre invitée

Lauren Wallace est une avocate chevronnée spécialisée en technologies et en protection de la vie privée, ainsi qu’une dirigeante d’entreprise. Elle occupe le poste de conseillère stratégique et a précédemment été directrice juridique chez RadarFirst, apportant plus de 20 ans d’expérience à l’intersection de la technologie, du droit et du business. Elle a occupé des postes de leadership tant dans de grands groupes technologiques que dans des startups innovantes — dont des rôles de conseil d’entreprise et d’experte couvrant le logiciel d’entreprise mondial, le SaaS et les questions de gouvernance en matière de vie privée. Titulaire du titre Certified Information Privacy Professional (CIPP/US), Lauren a joué un rôle clé dans l’élaboration de la stratégie juridique, réglementaire et commerciale de RadarFirst, et demeure très active dans le tissu économique et associatif de Portland.
Ressources pour cet épisode :
- Rejoignez la communauté Digital Project Manager
- Abonnez-vous à la newsletter pour recevoir nos derniers articles et podcasts
- Connectez-vous avec Lauren sur LinkedIn
- Découvrez RadarFirst
- NOYB – None of Your Business (l’organisation de défense des droits à la vie privée de Max Schrems)
- Base de données des incidents IA
Articles et podcasts associésa0:
Lauren Wallace : La confidentialité est un droit humain fondamental. C’est une attente de base qui nous permet de vivre nos vies de façon autodéterminée. Aux États-Unis, historiquement, la valeur des informations personnelles était considérée comme appartenant à l’entreprise qui les a collectées. Dans l’UE, la confidentialité est un droit humain fondamental et le droit à l’autodétermination concernant l’utilisation de vos données personnelles appartient au sujet de données—l’humain.
Galen Low : La réglementation est-elle le frein qui retiendra les secteurs réglementés dans leur transformation IA ?
Lauren Wallace : Je pense que les entreprises fortement réglementées ont en fait un avantage dans la conception et la mise en œuvre de programmes d’IA conformes. Elles sont déjà inscrites dans des cadres réglementaires existants. Il y a environ un an et demi, nous avons lancé une série de déjeuners mensuels sur l’IA éthique. Nous avons parlé de transparence, nous avons parlé de responsabilité. C’est ce qu’il y a de plus intéressant. Tout le monde aime les anecdotes de terrain, n’est-ce pas ? J’ai présenté des exemples, choquants et très actuels, mettant en jeu ces principes de transparence ou d’atténuation des biais.
Galen Low : Bienvenue sur le podcast « Le Chef de Projet Digital »—l’émission qui aide les leaders de la livraison à travailler intelligemment, livrer plus vite et mieux diriger à l’ère de l’IA. Je suis Galen, et chaque semaine nous plongeons dans des stratégies concrètes, de nouveaux outils, des cadres éprouvés et parfois quelques anecdotes venant de la réalité du terrain. Que vous soyez aux commandes de projets de grande transformation, que vous gériez des flux de travail IA, ou que vous essayiez juste d’éviter le chaos, vous êtes au bon endroit. Allons-y !
Aujourd’hui nous levons le voile sur la transformation IA dans les secteurs réglementés et comment une approche “confidentialité d’abord” peut en fait accélérer l’innovation, favoriser la collaboration interfonctionnelle et ouvrir une voie durable vers l’impact. Avec moi aujourd’hui, Lauren Wallace, conseillère stratégique et ancienne Chief Legal Officer chez RadarFirst.
Lauren a une vaste expérience couvrant le développement commercial juridique et des rôles exécutifs chez des marques comme Apple, Microsoft, Nike, ainsi que des start-ups soutenues par le capital-risque et le capital-investissement. Elle est reconnue pour ses conseils pratiques et accessibles auprès des équipes juridiques, produit, marketing et développement autour de l’usage responsable de l’IA. Elle est une force de la nature pour naviguer la conformité dans des environnements réglementés.
Lauren, merci d’être avec moi aujourd’hui !
Lauren Wallace : Merci pour l’invitation, je suis ravie d’être là.
Galen Low : Moi aussi je suis ravi d’être là. On discutait déjà en loge et j’aurais aimé enregistrer ce moment. Je suis vraiment enthousiaste.
Nous avons une belle synergie d’énergie. Nous partageons certaines visions, et sur d’autres points, nous divergerons peut-être. Ce qui me fascine dans ton parcours, c’est cette dimension entre la culture start-up à grande vitesse et le rythme moins effréné, pourrait-on dire, des secteurs réglementés comme la finance par exemple. Je pense qu’on peut osciller aujourd’hui, mais voilà la trame que j’ai esquissée pour nous…
Pour démarrer, je voulais évacuer l’une de ces grandes questions brûlantes, paradoxales, que tout le monde veut voir résolue. Mais ensuite, j’aimerais prendre du recul et parler de trois choses. D’abord, voir à quoi ressemble concrètement une stratégie IA avec la confidentialité en priorité, élément par élément, ce que les dirigeants et les secteurs réglementés doivent mettre en place pour l’atteindre, et quels sont les bénéfices potentiels.
Ensuite, j’aimerais explorer des exemples de l’approche “privacy by design” en pratique, et comment des responsables de département qui veulent donner vie à la vision IA de leur entreprise peuvent éviter les écueils. Enfin, j’aimerais explorer à quoi ressemblera le paysage concurrentiel après cinq ans d’avancée des stratégies IA de diverses organisations. Voilà le programme, comment ça te paraît ?
Lauren Wallace : Eh bien, sauf pour la partie perspective à cinq ans, Galen. Mais je pense qu’on peut bien couvrir le sujet.
Galen Low : D’accord. On sortira nos boules de cristal, et on jouera le jeu pour 3, 5, 10 ans.
J’ai pensé commencer par une question épineuse, mais il faut la contextualiser. Quand on pense aux secteurs très réglementés comme la finance, la santé, l’énergie ou les télécoms, on pense souvent à des limitations qui ralentissent leur transformation.
Et la pensée suivante, c’est que la transformation IA dans ces secteurs avance lentement, laissant ces industries à la traîne pendant que le reste du monde accélère. Ma grosse question : est-ce que la réglementation est la paperasserie qui retiendra ces industries dans leur transformation IA ?
Ou est-ce plutôt le socle qui, au final, bénéficiera à tous, ou tout autre chose ?
Lauren Wallace : Je choisis tout autre chose. Je me situe un peu entre les options décrites. Je dirais que les secteurs très réglementés ont en réalité un avantage pour concevoir et mettre en œuvre des programmes d’IA conformes.
Et ce parce que les principes à la base de la gouvernance IA—transparence, responsabilité, surveillance et prévention des biais—sont déjà des éléments essentiels des programmes de gouvernance IA. Et ils sont déjà intégrés aux cadres réglementaires existants. Et ce champ est plus vaste qu’on pourrait le penser.
Cela inclut, par exemple, le RGPD, que vous connaissez probablement peu importe votre secteur. Dans la banque, vous êtes soumis à des lois sur le prêt équitable. Si vous embauchez, soumis à des lois sur l’égalité des chances. D’autres cadres de protection des droits civils ou de protection des consommateurs peuvent inclure des interdictions ou des restrictions sur l’utilisation de décisions automatisées.
Ces règles—comme celles sur la gestion des modèles appliquées depuis longtemps dans la finance—appellent de fait à la “décision algorithmique”, ce qui se transpose facilement à nos outils IA d’aujourd’hui. Donc ces institutions lourdes et réglementées ont déjà des programmes de conformité robustes pour ces cadres.
Ils ont aussi des ressources et des moyens de gouvernance, des outils conçus pour y répondre. Donc, je ne dis pas qu’il soit simple d’ajouter une gouvernance IA, mais au moins on part de quelque chose lorsque l’on veut ajouter la conformité IA.
J’ai travaillé avec bon nombre de ces grandes institutions sur leur programme de conformité IA. Cela va d’institutions novices ou parfois allergiques à l’IA, à d’autres très sophistiquées.
Elles disposent déjà de programmes et cherchent à les étendre, à recruter les compétences nécessaires, impliquer leur communauté d’une nouvelle façon pour collaborer à la conformité IA à plus grande échelle. Ils ont également, et je le sais bien, été soumis à un patchwork très complexe de réglementations sur la notification d’incidents de sécurité.
À ma communauté RadarFirst, je vous vois, j’adore que vous utilisiez RadarFirst pour cela ! Nous proposons un produit avec près de 500 règles mondiales de notification d'incidents de confidentialité et sécurité, testables pour vos cas. Il faut comprendre qu’un incident reste un incident, qu’il provienne d’un fax mal transmis ou d’une IA utilisant des données personnelles : dès lors que des données personnelles sont impliquées, vous êtes soumis à ces notifications. Il ne faut pas penser que les incidents liés à l’IA sont à part ; impossible de blâmer juste l’IA. On a vu ça, ça finit mal.
Il faut donc un process pour gérer les incidents et désormais l’améliorer, et vous ne partez pas de zéro. À mon sens, la vraie difficulté est pour les entreprises de taille moyenne. Elles risquent de se heurter à ces exigences réglementaires pour la première fois en intégrant l’IA à leurs processus… alors, par où commencer ?
Elles n’ont peut-être jamais eu d’outils pour analyser la donnée à échelle, que de nouveaux produits IA accessibles et bon marché pourraient maintenant leur permettre. Mais maintenant, tout à coup, elles effectuent des traitements inédits risqués.
Pour ceux-là, démarrer la gouvernance à partir de zéro, c’est un vrai défi. Voilà ma longue réponse à votre question concise.
Galen Low : J’attendais la touche d’espoir à la fin... Travail difficile, certes, mais ?
Lauren Wallace : Parlons justement de l’espoir. Car on peut toujours partir des principes de la « privacy by design » et les étendre à la protection non seulement des données personnelles, mais aussi des informations propriétaires.
Vous prenez des risques quand vous mettez des données d’entreprise, par exemple, sur ChatGPT. Il faut évaluer et renforcer votre posture de sécurité ! L’IA augmente la surface d’attaque. Donc il faut bien maîtriser sa sécurité. Mais surtout—et j’espère que ce sera le cœur de notre conversation aujourd’hui—il faut enclencher le dialogue interne pour cerner ce qu’on veut réellement faire avec l’IA, ce qu’on pense pouvoir faire et quel réel ROI on espère générer.
J’aime distinguer deux axes : d’un côté, les usages internes IA pour la productivité, le remplacement d’outils existants, les améliorations de fonctions, et de l’autre, les cas d’usage pour le produit.
Galen Low : Hmm-hmm.
Lauren Wallace : Et les considérations sont très différentes selon ces axes.
Galen Low : Exactement ce que je voulais aborder. Je suis content que tu parles de “muscle” et du RGPD. Je viens du monde du digital, il y a deux domaines où nous étions à la traîne côté régulation : d’abord le RGPD, ensuite l’accessibilité, avec la loi ADA. On se retrouvait paniqués, sans process, sans conversation sur la réglementation, sur les amendes, la visibilité des données... On bidouillait, certains s’en sortaient mieux que d’autres, mais c’était du grand n’importe quoi au départ.
On se disait : allons vite, testons tout, le digital est sans contraintes… Jusqu’à encaisser la réalité. C’est ce que tu as évoqué.
Lauren Wallace : Devine quoi ? Il existe beaucoup de règles, parfois destinées au même principe, mais pouvant s’exprimer différemment. Le RGPD diffère du CCPA californien, qui diffère du CPRA—les intentions sont les mêmes, mais la mise en œuvre diffère. Beaucoup de mes clients recherchent alors le plus haut standard, la règle la plus exigeante qui transcende tous les environnements.
Essayer de se contenter du strict minimum de chaque réglementation semble séduisant pour limiter l’exposition juridique mais cela vous coûte plus cher en mise en œuvre et en énergie mentale quand vous voulez innover.
Donc, choisissez le plus haut niveau… et faites-le. Tu as parlé d’accessibilité. Ce domaine me tient beaucoup à cœur, et je travaille sur ce sujet avec d’autres groupes. Nous faisons souvent des suppositions sur les référentiels comme WCAG, mais vérifier des cases sur son site ne suffit pas à couvrir la charge cognitive qui peut peser sur des utilisateurs, surtout avec l’IA où les interactions changent complètement. Dans l’IA intégrée au monde physique (Alexa, HomeKit…), même si on ne “voit” pas l’IA, les environnements sont modelés différemment—là encore, au profit des personnes en situation de handicap, mais il faut aller bien plus loin. J’adorerais reparler accessibilité et IA avec toi.
Galen Low : Ce serait avec plaisir ! On parle beaucoup d’équité et d’accès égalitaire. Je me reconnais aussi dans le côté “technique de rattrapage” : pour l’accessibilité web, on cochait la case au dernier moment, ce qui ajoutait du risque. Beaucoup pensent : « Ne sur-concevez-vous pas, Lauren, en visant le niveau maximal de réglementation…? » Mais j’ai vu l’inverse coûter plus cher à long terme : remettre à plus tard, c’est juste reculer l’inévitable.
Lauren Wallace : Oui. Il ne faut pas devoir tout corriger a posteriori. Un autre avantage d’adopter le standard maximal est que cela favorise l’éthique dans votre travail. Même en l’absence d’obligation réglementaire explicite, vous pouvez agir « parce que c’est la meilleure façon de faire ».
C’est important pour être citoyen d’entreprise responsable et pouvoir dire à nos enfants qu’on a agi correctement. Aussi parce qu’on ne sait jamais précisément d’où viendra la contestation : un avocat, le régulateur, la concurrence… Prouver qu’un formalisme de notification a été respecté ne suffit pas.
Il faut montrer que l’organisation opère selon ses propres lignes directrices éthiques. Or l’un des sujets qu’on veut aborder aujourd’hui, c’est la mobilisation. En gestion de projet, c’est même le quotidien—mais comment communiquer efficacement sur ces valeurs ? Avec quels outils, quels mots, quel vocabulaire ?
Galen Low : Super transition ! J’aimerais profiter de ton expertise sur la façon de concevoir une stratégie IA axée sur la confidentialité. Tu parles de valeurs éthiques partagées… Pourrais-tu décortiquer concrètement pour nos auditeurs les composants d’une approche IA « privacy-first » ? Y compris les bénéfices, voire plus largement l’approche éthique.
Lauren Wallace : D’accord, je vais d’abord rentrer dans le détail, même être un peu provocatrice. Pour moi, la confidentialité est un droit humain fondamental. C’est une attente de base qui nous permet d’être autodéterminés.
Les organismes et les États devraient s’abstenir d’y porter atteinte—ou alors avec d’extrêmes précautions. Je vais même aller plus loin, en pointant le paysage mondial de la confidentialité. L’UE, qui fait figure de référence, a codifié la confidentialité comme droit humain dans le RGPD, puis dans l’AI Act, qui s’appuie beaucoup sur le RGPD. L’ADN européen : la confidentialité est un droit fondamental, et l’exploitation de la donnée doit être décidée par la personne concernée.
Aux États-Unis, historiquement, la valeur des données personnelles est considérée comme appartenant à l’entreprise qui les collecte ou qui les exploite, puisqu’elle en extrait la valeur ajoutée.
Dans d’autres régions du monde, la donnée personnelle et même son contenu sont considérés comme appartenant à l’État, au nom de l’intérêt général du citoyen.
Donc trois visions de base très différentes sur la propriété et la valeur de l’information personnelle. Lorsqu’on examine la ligne éthique de sa propre entreprise, on commence par là : Où se situe-t-on ? Il ne s’agit pas d’une liste de principes abstraits—justice, responsabilité, atténuation des biais—mais d’une interrogation sur le sens même : notre mission est-elle de tirer profit des données personnelles, ou de servir l’intérêt de ceux à qui appartiennent ces données ?
Galen Low : Oui, tu as mentionné le modèle européen comme étalon de la confidentialité. D’un point de vue nord-américain, je dois avouer approcher la donnée personnelle comme une devise. Quand tu dis que “la valeur revient à ceux qui extraient la donnée”, ça me parle : si je ne débourse pas, c’est ma donnée qui paie. Et je pense que c’est pour ça que souvent on “tolère” un traitement moins précautionneux de nos données : si c’est gratuit, alors ça me va.
Mais c’est ce qui m’a frappé avec le RGPD : l’idée que la personne devrait avoir le contrôle effectif de ses données. Puis il y a le côté pratique : qui a le temps d’aller nettoyer tous ses comptes, demander l’effacement à chaque site…? Peu de gens exercent effectivement ce droit. On finit aussi par consentir par facilité…
Lauren Wallace : Mention spéciale aux organisations comme NOYB (« None Of Your Business », de Max Schrems), qui portent ce combat à échelle collective. Pour l’individu, faire valoir ce droit est incroyablement difficile.
L’obligation d’informer et d’obtenir un consentement véritable (et non implicite) est en train de passer de la vie privée à la réglementation IA. Très souvent, on consent implicitement, via une bannière de cookies, un formulaire, etc. Mais souvenons-nous de cette maxime : « Si le produit est gratuit, c’est que vous êtes le produit ».
Galen Low : Oui.
Lauren Wallace : On se laisse facilement séduire par la fonctionnalité promise. On se dit : il n’y a rien de spécial dans mes données en soi… Mais agrégées, enrichies, revendues, elles prennent une forte valeur. L’IA fait grandir ce risque par ses capacités d’enrichissement et d’inférences.
Ce que vous fournissiez à un prestataire pour un achat en apparence banal se retrouve agrégé, enrichi et revendu. Votre “dossier” prend de la valeur. Le titulaire des données n’a aucun moyen de s’opposer à cette circulation. Mon soutien va donc aux entreprises qui veulent agir éthiquement et savoir à quelles données elles ont accès, si elles ont le bon consentement, si leur usage actuel déborde ce qui était explicitement autorisé, si ce nouvel usage étendu est défendable… Il vaut mieux anticiper que devoir faire de l’archéologie a posteriori.
Imaginons l’exemple d’une banque ayant acheté pour 175 millions $ une start-up pour acquérir 4 millions de noms dans l’espoir de transformer ces données en nouveaux comptes bancaires (valeur d’acquisition 150 $ par client) soit 40-45 $ le nom. Mais ces noms étaient générés artificiellement ! L’acquisition a capoté, et ce qui avait de la valeur c’était le fichier de noms. Cette histoire doit nous faire réfléchir à la place de nos propres données et de celles de nos proches dans cette chaîne de valeur.
Galen Low : Il y a vraiment beaucoup là-dedans. On pense souvent à l’IA comme à un outil ou à une compétence à développer, sans toujours savoir ce qui se passe “après”, dans les coulisses, après avoir cliqué sur “envoyer” ou validé une transaction… Où va la donnée, entre quelles mains ? Cela pose la question de ce qu’on fait réellement en tant qu’organisation.
Lauren Wallace : C’est une immense question. En tant que citoyens, parents, consommateurs ou collaborateurs, l’enjeu est colossal. Je préfère partir d’un cas d’usage précis : Que voulez-vous obtenir concrètement de telle application et tel jeu de données ? Gagnez-vous de l’argent, réalisez-vous des économies, augmentez-vous la clientèle ?
Dans les milieux de la conformité, on parle beaucoup du « ton donné au sommet ». Valeur utile, certes, mais à l’échelle projet, il faut redescendre : Que cherchons-nous à obtenir ? En quoi les principes éthiques de la direction ou des régulations s’alignent sur les actes concrets ? Et si c’est flou, à cause de la boîte noire, peut-on procéder malgré tout ? Pour ma part, parfois je dis non, faute d’informations claires ou de documentation. Être capable de dire non est une force, surtout pour respecter le principe de responsabilité.
La question alors, au sein du projet, est de savoir qui sera responsable du produit ou service. Impossible de juste pointer le vendeur en cas de souci : la responsabilité doit être collective, voire personnelle—à l’échelle de l’équipe projet. Quand on forme une équipe pour un projet IA, il faut réunir toute la communauté métier : produit, ingénierie, sécurité, relation client (pour gérer les requêtes), marketing produit (pour documenter), commercial (pour adapter le message), juridique (notamment au cas où certains clients interdisent le recours à l’IA dans les contrats). Même dans des contrats anciens ! Ce n’est qu’ainsi qu’on peut développer une réelle responsabilité et responsabilisation.
Galen Low : Merci d’avoir abordé la question de la responsabilité. Dans une équipe, c’est le maillon faible qui fait la force ou la fragilité de l’ensemble ; si une personne « prend un raccourci », l’esprit d’équipe et les valeurs communes sont notre meilleur bouclier.
Lauren Wallace : Ce qui est fort avec la confidentialité, c’est que c’est très personnel. Faites un sondage dans votre organisation : qui a déjà vu ses données usurpées ? Nous recevons tous des lettres de notification d'incident de temps en temps, parfois c’est vraiment terrible et cela a un impact direct.
Galen Low : Je comprends tout à fait…
Lauren Wallace : Discutons de comment cela se décline dans un projet ou produit intégrant l’IA. Oui, il y a l’éducation (avoir la culture et l’empathie nécessaires), l’implication de toutes les parties prenantes (même si certains trouveront cela trop coûteux ou lourd), et la gestion, le cas échéant, des erreurs commises (volontaires ou non) dans la gestion de la donnée.
Première chose : distinguer l’usage intentionnellement malveillant (qui relève du pénal), de la négligence ou l’erreur involontaire (qui touche à la vigilance collective). Beaucoup d’outils offrent des configurations pour protéger données personnelles et secrets d’entreprise. Il faut déjà mettre tout cela en place pour éviter la gaffe involontaire, étape de base.
Reste ensuite la question des actes intentionnels ou négligents, souvent sous la pression des délais.
Galen Low : Oui.
Lauren Wallace : Parfois, il faut juste dire non et s’y tenir. Ce n’est pas un plaisir, ce n’est pas une vengeance, mais une nécessité guidée par un cadrage collectif comme la matrice des risques (combinaison de probabilité et gravité), qui permet de cartographier la position de l’organisation pour savoir décider ensemble.
« L’ignorance n’est jamais une défense », c’est un principe de base. Définissez une position claire, partagez les valeurs, et n’oubliez pas l’enjeu personnel de la confidentialité.
Galen Low : J’adore ce message, qui ne consiste pas à tout industrialiser mais à cultiver l’éducation et la discussion, même dans de petites équipes qui portent plusieurs casquettes. La culture et le vocabulaire commun sont, en fait, le début de ce « muscle ». Finalement, dans l’IA aujourd’hui, il faut probablement réunir toutes les parties prenantes, parce que l’incertitude et le risque restent majeurs, et c’est un vrai investissement de culture d’entreprise.
Lauren Wallace : Et culturellement, aucune organisation, à ma connaissance, n’échappe à la transformation IA en ce moment. Beaucoup d’individus sont personnellement réticents à l’essor de l’IA dans leur vie (par souci de sécurité, vie privée, etc.). On ne peut pas leur demander de mettre leurs peurs de côté juste parce que l’entreprise veut aller vite. Donc faire grandir la compétence et la confiance individuelles est important.
Pour partager concrètement : chez RadarFirst il y a un an et demi, nous avons lancé une série de déjeuners “lunch & learn” sur l’IA éthique. Informel, ouvert à tous, chaque session portait sur un thème particulier (agency humaine, transparence, responsabilité…) en s’appuyant sur les guides européens d’IA (avant l’AI Act). On présentait des exemples (notamment via la base de données des incidents IA en ligne—aiguisez votre curiosité !), puis débat ouvert, chacun à son niveau. Même sans consensus, tout le monde repartait avec un cadre et du vocabulaire pour aborder les sujets ensuite dans leur quotidien (ou remonter à la direction). Une superbe expérience, vraiment recommandée ! Cela renforce le fait qu’on traite de valeurs et de vertus humaines, avec un impact sur nous, nos proches et notre planète.
Galen Low : Mais qui doit animer ces réunions si on n’a pas une Lauren Wallace ?
Lauren Wallace : Question importante ! Comme pour le comité de pilotage, il est positif qu’il soit très transversal, incluant tous les métiers et divers niveaux d’expérience (vous aurez parfois les idées les plus fraîches des plus jeunes). Qui l’anime ? Cela peut venir du produit, de la direction administrative ou financière, mais il faut toujours un sponsor exécutif. On peut aussi faire tourner cet exercice, pour varier les points de vue !
Galen Low : J’aime beaucoup ton insistance sur la notion de communauté : il ne s’agit pas d’un “comité des sages”, mais d’un cercle ouvert pour partager, aligner et consolider la culture sur le terrain. En contexte IA, cela permet à chacun d’apporter sa pierre. Le ton donné par la direction et quelques sponsorings suffisent, pas forcément besoin d’un expert externe permanent. L’essentiel est la transversalité !
Lauren Wallace : L’essor de l’IA est fulgurant, et les entreprises déjà soumises à des réglementations fortes avaient déjà la “caisse” (les bons réflexes) pour traiter le risque et en discuter collectivement.
Galen Low : Elles savent jauger ces seuils de risque… C’est donc plus simple d’obtenir du soutien et le droit de dire non lorsque ce dialogue sur le risque fait déjà partie de la culture. Mais il n’y a rien de mal à se faire aider d’un consultant pour structurer le démarrage ! Il ne faut pas s’épuiser dans des discussions sans fin.
Lauren Wallace : Mais les experts de l’entreprise doivent apporter le contenu et aider à définir la méthode de prise de décision.
Galen Low : Pour finir, parlons d’avenir. Nous avons cité des réglementations passées (RGPD, etc.) et le décalage entre la législation et les pratiques (social media, IA…). Les organisations avancent-elles dans une “zone grise” où la législation va nous contraindre à rebrousser chemin, ou au contraire leur pratique va-t-elle inspirer la loi ?
Lauren Wallace : Belle question, Galen !
Galen Low : Petite question pour terminer…
Lauren Wallace : Penchons-nous sur la loi : c’est juste une façon d’inscrire nos principes éthiques communs dans un texte accessible à tous. Vous ne partagerez pas toujours complètement les valeurs écrites, mais vous savez où trouver la “position communautaire” et son application. Les tribunaux existent surtout pour les questions innovantes encore absentes des lois. Ainsi, la jurisprudence façonne progressivement ces sujets et finit par irriguer la législation, mais le rythme est lent.
La législation finit souvent par couvrir tous les scénarios pour éviter l’exception, ce qui explique sa complexité. Cela prend du temps et il ne faut pas attendre trop de rapidité de la part du législateur (ni la souhaiter !). Exemple du Colorado, où une loi inspirée de l’UE a été promulguée trop vite, puis retirée faute de capacité à la faire appliquer, ce qui a obligé les entreprises à démarrer puis tout arrêter…
« Se faire balader » par des exigences point à point est épuisant. Mieux vaut poser vos choix, vos seuils de risque et agir aujourd’hui selon vos convictions et votre compréhension de ce qu’attendent vos clients, en acceptant le risque législatif ou judiciaire résiduel.
Galen Low : Formidable réponse. Merci beaucoup ! Une dernière petite question pour s’amuser : veux-tu m’en poser une ?
Lauren Wallace : Oui Galen. Après une telle discussion, je veux prendre de tes nouvelles : quand as-tu pris des vacances pour la dernière fois, et où ?
Galen Low : Il y a un an, au Mexique, toute la belle-famille réunie (sauf le chien !). C’était l’occasion de se ressourcer, de se recentrer famille, de réfléchir. La vie va vite, on ne contrôle pas tout, mais ce fut une précieuse parenthèse. Même dans nos métiers (« transformation IA » oblige), il faut trouver l’équilibre, se ménager du temps… C’est difficile pour tout le monde en ce moment, parfois sans qu’on s’en rende compte. Il y a là un vrai enjeu qu’on devrait intégrer davantage à l’époque. On est tous confrontés à la sur-sollicitation…
Lauren Wallace : La charge cognitive est inimaginable, parfois il suffit juste de partir, de se déconnecter et de savourer. Tu as bien fait !
Galen Low : Ce sont des parenthèses, parfois trop courtes…
Lauren Wallace : Exactement !
Galen Low : Merci mille fois, Lauren, d’être venue aujourd’hui. J’ai adoré notre conversation. Pour nos auditeurs, où peut-on te retrouver ?
Lauren Wallace : Contactez-moi sur LinkedIn, on verra ensuite.
Galen Low : Parfait ! Je mettrai le lien vers son profil dans les notes de l’épisode, ainsi que des ressources sur la législation et NOYB. Merci à tous !
Lauren Wallace : Merci, Galen.
Galen Low : C’était l’épisode du podcast Le Chef de Projet Digital. Si cette discussion vous a plu, abonnez-vous sur votre plateforme préférée. Pour encore plus de cas pratiques, de guides et de stratégies, rendez-vous sur thedigitalprojectmanager.com.
À la prochaine, et merci de votre écoute.
