C’est le chiffre pos\u00e9 sur la table par l’OCDE lors de la conf\u00e9rence ETSI AI & Data de f\u00e9vrier 2026 : pr\u00e8s de 9 000 incidents et risques li\u00e9s \u00e0 l’IA, document\u00e9s entre janvier 2022 et septembre 2025. Pas des hypoth\u00e8ses acad\u00e9miques. Des cas r\u00e9els. Biais, atteintes \u00e0 la vie priv\u00e9e, d\u00e9cisions automatis\u00e9es contestables, contenus synth\u00e9tiques trompeurs.<\/p>\n\n\n\n
Parmi les quatorze cat\u00e9gories identifi\u00e9es, quatre voient leur part augmenter significativement. En t\u00eate : les m\u00e9dias synth\u00e9tiques<\/strong>. Autrement dit, les contenus fabriqu\u00e9s par l’IA. Deepfakes, textes g\u00e9n\u00e9r\u00e9s, r\u00e9ponses invent\u00e9es.<\/p>\n\n\n\n Le paradoxe est brutal : l’outil cens\u00e9 produire de la connaissance est devenu la premi\u00e8re source de d\u00e9sinformation industrialis\u00e9e.<\/p>\n\n\n\n Et pourtant, des dirigeants continuent de brancher un LLM sur leurs documents internes en esp\u00e9rant des r\u00e9ponses \u00ab\u00a0fiables\u00a0\u00bb. Comme si connecter un moteur \u00e0 du carburant frelat\u00e9 pouvait produire de la performance.<\/p>\n\n\n\n Le mot \u00ab\u00a0hallucination\u00a0\u00bb est devenu le fourre-tout commode pour expliquer les erreurs de l’IA. Mais il masque le vrai sujet.<\/p>\n\n\n\n Un LLM ne \u00ab\u00a0se trompe\u00a0\u00bb pas au sens humain du terme. Il g\u00e9n\u00e8re la suite de tokens la plus probable. Il n’a pas de notion de v\u00e9rit\u00e9 ; il a une notion de plausibilit\u00e9 statistique. La nuance est fondamentale.<\/p>\n\n\n\n Le probl\u00e8me n’est pas que l’IA invente. C’est que personne ne peut prouver d’o\u00f9 vient sa r\u00e9ponse.<\/strong><\/p>\n\n\n\n Pas de source identifi\u00e9e. Pas de tra\u00e7abilit\u00e9. Pas d’audit possible. Quand votre directeur juridique vous demande \u00ab\u00a0sur quoi repose cette analyse ?\u00a0\u00bb, le silence du syst\u00e8me n’est pas un bug. C’est son architecture.<\/p>\n\n\n\n Scott Cadzo, pr\u00e9sident du comit\u00e9 TC SAI de l’ETSI (le comit\u00e9 charg\u00e9 de rendre l’IA s\u00fbre, s\u00e9curis\u00e9e et socialement responsable) r\u00e9sume le d\u00e9fi avec une image limpide :<\/p>\n\n\n\n \u00ab\u00a0You can’t do the same kind of testing you do for standard software because it’s intrinsically [non-deterministic]. It changes all the time. It’s like standing in sand.\u00a0\u00bb<\/p>\n<\/blockquote>\n\n\n\n Debout sur du sable. Voil\u00e0 l’\u00e9tat de la confiance IA aujourd’hui pour toute entreprise qui d\u00e9ploie un mod\u00e8le sans ancrage dans une base de connaissances ma\u00eetris\u00e9e.<\/p>\n\n\n\n Pendant que le march\u00e9 d\u00e9bat d’\u00e9thique IA en termes vagues, les organismes de normalisation construisent des cadres op\u00e9rationnels concrets. Le probl\u00e8me : ces travaux restent enferm\u00e9s dans des cercles d’experts.<\/p>\n\n\n\n L’ETSI a publi\u00e9 fin 2025 la norme EN 304 223. Pas un guide de bonnes pratiques, pas une recommandation : une norme d’exigences<\/strong>. Treize principes. Soixante-douze obligations concr\u00e8tes couvrant l’int\u00e9gralit\u00e9 du cycle de vie d’un syst\u00e8me IA.<\/p>\n\n\n\n Comme le pr\u00e9cise Ultan Mulligan, directeur des services de l’ETSI :<\/p>\n\n\n\n \u00ab\u00a0C’est la premi\u00e8re norme globalement applicable, pas seulement europ\u00e9enne. Les standards ISO existants traitent de recommandations. Celui-ci fixe des exigences<\/strong>. C’est pour cela qu’il attire autant l’attention.\u00a0\u00bb<\/p>\n<\/blockquote>\n\n\n\n Soixante-douze choses \u00e0 faire. Sur l’int\u00e9gralit\u00e9 du cycle de vie. Pour pouvoir affirmer avec un degr\u00e9 raisonnable d’assurance que le syst\u00e8me IA que vous mettez sur le march\u00e9 est s\u00fbr, s\u00e9curis\u00e9 et socialement responsable.<\/p>\n\n\n\n La question pour un dirigeant n’est plus \u00ab\u00a0faut-il r\u00e9guler l’IA ?\u00a0\u00bb Elle est : \u00ab\u00a0combien de ces 72 exigences mon syst\u00e8me respecte-t-il aujourd’hui ?\u00a0\u00bb<\/p>\n\n\n\n L’OCDE, de son c\u00f4t\u00e9, a construit un cadre commun de reporting \u00e0 partir de 88 crit\u00e8res initiaux, r\u00e9duit \u00e0 29 crit\u00e8res dont 7 obligatoires : type de pr\u00e9judice, lien entre l’incident et le syst\u00e8me IA, description factuelle, preuves \u00e0 l’appui. Approuv\u00e9 par 34 pays membres. Publiquement accessible.<\/p>\n\n\n\n L’article 73 de l’EU AI Act rendra bient\u00f4t obligatoire<\/strong> le signalement des incidents IA graves. Ceci n’est plus de la prospective.<\/p>\n\n\n\n Et la conformit\u00e9 elle-m\u00eame change de nature. Markus L\u00fcck, pr\u00e9sident du comit\u00e9 TC MTS de l’ETSI, pose la question qui devrait hanter chaque DSI :<\/p>\n\n\n\n \u00ab\u00a0Un test initial peut ne plus \u00eatre applicable apr\u00e8s un certain temps, car le mod\u00e8le a tellement chang\u00e9. Le groupe travaille sur ce qu’il appelle l’\u00e9valuation de conformit\u00e9 continue<\/strong> : valider encore et encore si les exigences sont respect\u00e9es sur toute la dur\u00e9e de vie du produit.\u00a0\u00bb<\/p>\n<\/blockquote>\n\n\n\n Un logiciel classique peut \u00eatre test\u00e9, certifi\u00e9, d\u00e9ploy\u00e9. Un syst\u00e8me IA, non. Il est r\u00e9entra\u00een\u00e9. Il apprend. Il \u00e9volue. Le mod\u00e8le que vous avez valid\u00e9 en janvier n’est plus le m\u00eame en juin. Tester une fois ne suffit plus. Il faut tracer, versionner, auditer dans le temps. Impossible sans une architecture de connaissance qui documente ce que le syst\u00e8me sait, d’o\u00f9 il le sait, et comment cette base \u00e9volue.<\/p>\n\n\n\n Deux paradigmes s’opposent d\u00e9sormais. Le choix entre les deux n’est pas technique ; il est strat\u00e9gique.<\/p>\n\n\n\nLe vrai probl\u00e8me n’est pas l’hallucination. C’est l’absence de preuve.<\/h2>\n\n\n\n
\n
Ce que disent les normes (et que personne ne vulgarise)<\/h2>\n\n\n\n
EN 304 223 : la premi\u00e8re norme mondiale d’exigences pour la s\u00e9curit\u00e9 IA<\/h3>\n\n\n\n
\n
Le cadre OCDE et la conformit\u00e9 continue<\/h3>\n\n\n\n
\n
La fracture : IA aveugle vs IA ancr\u00e9e<\/h2>\n\n\n\n