L'IA en France : nous nous trompons de débat

Depuis plus de trois ans que j'accompagne des entreprises, des collectivités et des organismes de formation dans leur appropriation de l'intelligence artificielle, je vois la même scène se rejouer presque sans variation. Une salle, un grand écran, une vingtaine de collaborateurs, et au moment d'ouvrir un outil pour passer à la pratique, la même question — « on prend Copilot, c'est déjà dans notre licence Microsoft ? » J'ai longtemps cru que ce réflexe était une étape transitoire. Je crois aujourd'hui qu'il est le symptôme le plus clair d'un débat français qui s'égare — et qui coûtera cher.

Je voudrais, dans cette tribune, prendre le temps de défaire ce débat tel qu'il s'est figé en France. Mon propos s'organise en trois temps. Je veux d'abord montrer pourquoi les deux peurs qui structurent aujourd'hui le rapport des entreprises à l'IA — la peur du RGPD, la peur de livrer des secrets stratégiques — reposent l'une et l'autre, dans leur formulation usuelle, sur des malentendus qui appellent une pédagogie précise plutôt qu'une posture de prudence. Je veux ensuite expliquer pourquoi, dans ce paysage, Microsoft s'est imposé sans concurrence non par la qualité de son outil mais par la qualité de sa promesse de conformité, et pourquoi cette victoire par défaut nous enferme dans une dépendance dont nous ne mesurons pas le coût. Je veux enfin défendre l'idée que le véritable enjeu n'est pas technologique : il est organisationnel, il est humain, et il est l'héritage non liquidé de vingt années de numérisation conduites à la hâte. C'est, je crois, le débat que nous devrions avoir — et que nous n'avons pas.

Le paradoxe français : un bouclier devenu alibi

Il faut commencer par rendre justice à ce qui a été construit. Le Règlement général sur la protection des données, entré en application en 2018, n'est pas un caprice bureaucratique : c'est l'aboutissement d'une tradition juridique européenne qui pose qu'une donnée personnelle n'est pas une marchandise comme une autre. L'AI Act, adopté en 2024, prolonge cette ligne. Sur le papier, l'Europe a su écrire un cadre que beaucoup d'autres juridictions nous envient discrètement — y compris, paradoxalement, certains chercheurs américains.

Mais entre le texte de loi et la réalité d'une PME, il y a un fossé que mon travail de terrain me force à nommer. Dans la grande majorité des organisations que je rencontre, le RGPD n'est plus un cadre de pensée : il est devenu un mot magique, brandi pour clore une discussion plutôt que pour l'ouvrir. « On ne peut pas, c'est le RGPD » équivaut, dans la plupart des réunions, à « je n'ai pas envie d'y réfléchir ». La régulation, pensée comme un bouclier contre l'extractivisme numérique, est en train de devenir un alibi de l'immobilisme.

Et l'on assiste alors à un retournement saisissant. Les mêmes organisations qui invoquent le RGPD pour refuser d'évaluer un modèle ouvert hébergé sur une infrastructure européenne déploient sans état d'âme Copilot sur l'ensemble de leur parc — alors même que ce service, fût-il hébergé sur les datacenters européens de Microsoft (et l'EU Data Boundary répond effectivement à cette question de localisation), reste opéré par une entreprise de droit américain, soumise au CLOUD Act, dont les conditions générales changent au gré des arbitrages internes du fournisseur. La donnée a beau ne jamais quitter physiquement le sol européen, son opérateur, lui, est astreint à coopérer avec une autorité judiciaire étrangère qui en ferait la demande. Cette contradiction n'est pas une mauvaise foi individuelle : c'est un symptôme collectif. Nous avons confondu la localisation des serveurs avec la souveraineté réelle, et la conformité contractuelle avec la maîtrise effective de nos données.

Mais au fait, que protège-t-on vraiment ?

Il faut s'arrêter un instant sur cette question, parce que je suis frappé par le peu de gens qui se la posent réellement. Dans la plupart des discussions auxquelles j'assiste, « le RGPD » fonctionne moins comme un cadre juridique précis que comme un mantra moral. On le brandit comme on brandirait un argument d'autorité, une posture de prudence, parfois même une preuve de sérieux — sans jamais regarder ce que le texte recouvre, ni ce qu'il ne recouvre pas.

Reprenons à la base. Le règlement général sur la protection des données encadre le traitement des données à caractère personnel — c'est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable. Cela inclut les noms, les emails, les numéros de sécurité sociale, les données de santé, les coordonnées bancaires, les informations RH nominatives. Cela exclut, en revanche, l'immense majorité de ce qu'un cadre, un formateur, un consultant ou un développeur traite dans sa journée : une note de synthèse, une analyse de marché, un brouillon de présentation, un bout de code, un compte rendu d'atelier, une trame pédagogique, une note interne anonymisée. Aucun de ces contenus n'entre dans le champ du RGPD.

Quand je regarde — et je le fais avec une certaine rigueur dans mes interventions — la nature réelle des contenus que les collaborateurs soumettent aux assistants comme ChatGPT, Claude ou Gemini, j'obtiens à chaque fois la même photographie. La grande majorité de ces contenus — disons, par convention prudente, autour de huit sur dix — ne contient aucune donnée personnelle. Du texte générique, des idées, des arguments, des reformulations, des traductions, des explications, des plans d'action. La part qui relève effectivement du RGPD est minoritaire, et la part qui relève de données véritablement sensibles — santé, RH nominatives, juridique, financier individualisé — est, elle, marginale. Pas négligeable, certes, mais marginale en volume.

Ce simple constat devrait suffire à changer la conversation. Le risque n'est pas uniforme. Il est concentré dans une petite fraction des usages, et c'est sur cette fraction qu'il faut faire porter l'effort de protection. Tout le reste — et c'est l'écrasante majorité du flux quotidien — peut, et doit, circuler sans entrave. Refuser un assistant IA « parce que le RGPD » pour traiter une synthèse de réunion sans noms, c'est la même erreur logique que déclarer une voiture dangereuse parce qu'elle pourrait, dans certaines conditions, transporter un produit inflammable. Le bon réflexe n'est pas d'interdire la voiture, c'est d'identifier le moment où elle transporte effectivement le produit dangereux.

Une fois ce premier mantra désamorcé, un second apparaît immédiatement, presque toujours formulé dans la même phrase : « Oui, mais notre stratégie, nos données business, nos chiffres confidentiels — on ne va quand même pas nourrir un LLM américain avec ça. » La peur est compréhensible, elle s'entend dans tous les comités de direction, et elle mérite la même analyse que la précédente. Or, dans la grande majorité des cas que je rencontre, elle est elle aussi un faux problème — ou plus exactement, un problème mal posé.

Le premier point qu'il faut avoir le courage de regarder en face est celui de l'asymétrie réelle entre ce que vous croyez transmettre et ce qui intéresse l'éditeur. Une PME qui soumet à Claude un brief sur sa stratégie commerciale en Auvergne, ou un cabinet de conseil qui demande à ChatGPT de reformuler un plan d'action sur trois ans, surestime souvent de manière considérable la valeur que ces contenus auraient pour qui que ce soit d'autre. Anthropic, OpenAI ou Google traitent des milliards de requêtes quotidiennes ; aucun ingénieur, aucun algorithme, aucun concurrent n'est en train d'extraire de votre conversation l'« insight » qui ferait basculer un marché. Cette représentation relève d'un fantasme d'espionnage industriel hérité d'une autre époque, dans laquelle la donnée était rare et l'extraction coûteuse. Aujourd'hui, ce qui est rare, ce n'est pas la donnée : c'est l'attention, et personne ne va consacrer la sienne à votre tableau de bord trimestriel.

Le second point est juridique et contractuel. Les principaux fournisseurs proposent aujourd'hui des offres entreprise dans lesquelles les contenus soumis ne sont pas utilisés pour entraîner leurs modèles — c'est une clause standard, lisible, opposable. Le risque que votre brief stratégique se retrouve, dans deux ans, dans la réponse d'un modèle à un utilisateur tiers, est en pratique très faible dès lors que l'organisation a souscrit l'offre adaptée et n'a pas utilisé les comptes grand public pour des sujets sensibles. Encore faut-il, là aussi, faire l'effort de distinguer : ce qui transite sur un compte ChatGPT gratuit d'un collaborateur n'est pas traité comme ce qui transite sur un déploiement Claude for Enterprise contractualisé. C'est ce travail de discernement, et non l'interdit général, qui relève d'une politique adulte.

Le troisième point est, je crois, le plus difficile à entendre, mais celui qui change le plus profondément la conversation. La grande majorité des contenus dits « stratégiques » que les entreprises ne veulent pas « livrer à l'IA » ne sont, en réalité, ni si stratégiques ni si confidentiels. Ce sont des analyses de marché qui reprennent des données publiques, des plans d'action qui déclinent des bonnes pratiques connues, des réflexions stratégiques que dix cabinets de conseil pourraient produire en parallèle à partir des mêmes inputs. Le véritable avantage compétitif d'une entreprise réside rarement dans le contenu de ses documents — il réside dans son exécution, sa culture, ses relations clients, son tour de main opérationnel. C'est, depuis Barney (1991)^[1], l'un des résultats les mieux établis de la littérature stratégique : les avantages compétitifs durables résident dans les ressources et capacités tacites, difficiles à imiter, jamais dans les artefacts documentaires qui circulent aisément. Aucun LLM n'aspire ces dimensions-là, parce qu'aucun document n'en contient véritablement la substance. Refuser de soumettre une note de stratégie à un assistant pour « protéger » un avantage qui ne s'y trouve pas, c'est manquer l'un et l'autre : ni la note n'a été améliorée, ni l'avantage n'a été protégé, et l'entreprise s'est privée d'un gain de productivité réel.

Il reste, bien sûr, une fraction de contenus dont la confidentialité est réelle et stratégique : dossiers de M&A en cours, propriété intellectuelle non déposée, négociations sensibles, formules industrielles. Pour cette fraction-là — et elle est, comme pour les données personnelles, minoritaire en volume — le bon réflexe n'est pas un interdit général, mais une politique explicite, comprise par les collaborateurs, accompagnée de moyens techniques adaptés (déploiement on-premise, modèles ouverts sur infrastructure souveraine, ou tout simplement : ne pas y mettre certaines choses). On retrouve ici exactement la même logique que pour le RGPD : identifier les 8 % qui comptent vraiment, et arrêter de paralyser les 92 %.

C'est dans cet esprit, et pour le premier des deux sujets — celui des données personnelles, qui est le plus encadré juridiquement —, que j'ai développé, pour mon propre usage professionnel, une extension de navigateur que j'utilise tous les jours. Son principe est simple : lorsqu'elle détecte qu'un contenu sur le point d'être envoyé vers un assistant IA contient une donnée personnelle au sens du RGPD, elle le signale visuellement à l'utilisateur, en lui laissant le choix d'anonymiser, de retirer la donnée, ou de poursuivre en pleine conscience. Aucun blocage par défaut, aucune infantilisation : un signalement contextuel, au moment où la décision se prend. Cet outil n'a rien de spectaculaire d'un point de vue technique. Sa valeur est ailleurs, dans ce qu'il rend possible : passer d'un cadre par interdit à un cadre par discernement, et redonner aux utilisateurs la responsabilité que les politiques de blocage leur avaient confisquée.

Je ne mentionne pas cet outil pour en faire la promotion, mais pour illustrer un point de méthode. Le bon niveau d'action sur le RGPD ne se situe pas dans la décision générale et répétée de bannir ou d'autoriser un outil. Il se situe au point d'usage, dans le geste concret de l'utilisateur, accompagné par des dispositifs intelligents qui repèrent les vrais 8 % et laissent passer les 92 %. Toute approche qui ne distingue pas ces deux populations de données est, par construction, soit inutilement restrictive, soit dangereusement laxiste — et parfois les deux en même temps.

« Le risque n'est pas uniforme. Refuser un assistant IA "parce que le RGPD" pour traiter une synthèse de réunion sans noms, c'est la même erreur logique que déclarer une voiture dangereuse parce qu'elle pourrait, dans certaines conditions, transporter un produit inflammable. »

Pourquoi Microsoft a gagné — et ce que cette victoire dit de nous

Soyons clairs sur un point, parce qu'il faut pouvoir le dire publiquement : si Microsoft s'est imposé comme la solution par défaut dans la quasi-totalité des organisations françaises que j'accompagne, ce n'est pas parce que Copilot est techniquement le meilleur assistant du marché. Il ne l'est pas. Je le dis sans détour : dans l'état actuel de l'offre, Copilot est l'un des outils les plus faibles parmi les grands assistants génératifs. Les benchmarks publics le montrent, la pratique quotidienne aussi, et la plupart des collaborateurs qui en disposent dans leur entreprise le constatent en silence — puis ouvrent un onglet sur ChatGPT ou Claude pour faire leur travail réel.

Si Microsoft a gagné malgré cette infrastructure technique décevante, c'est précisément parce que la course ne s'est pas jouée sur la performance. Elle s'est jouée sur la promesse de conformité. Microsoft a compris avant tout le monde que la peur juridique des directions européennes était un levier commercial bien plus puissant que la qualité produit. Et l'entreprise a vendu, avec un talent qu'il faut reconnaître, une promesse RGPD packagée : clauses contractuelles types, données « dans l'Union européenne », engagements de confidentialité affichés sur la page commerciale. Pour un DPO sous pression, pour un comité de direction qui veut cocher une case, c'est irrésistible. On signe, on est en règle, on dort tranquille.

Que cette promesse soit en partie un habillage — l'entreprise reste soumise au droit américain, le CLOUD Act s'applique, l'historique de la firme en matière de télémétrie n'est pas exactement rassurant — importe peu à ce stade. Ce qui importe, c'est qu'elle ait été fournie. Les autres acteurs américains, eux, ont longtemps négligé cette dimension réglementaire européenne, et ils en paient le prix sur ce marché. La leçon est cruelle : en Europe, on achète d'abord une promesse de conformité, et la qualité du produit vient ensuite — ou ne vient pas.

S'y ajoute une seconde raison, plus banale et plus difficile à défaire : l'écosystème était déjà là. Quand une organisation a depuis vingt ans construit ses serveurs de fichiers, son annuaire, sa messagerie, sa suite bureautique et son ERP autour de la galaxie Microsoft, l'ajout d'un assistant IA dans cette même galaxie ne se discute même pas : il s'active. Les directions générales n'achètent pas Copilot parce qu'elles l'ont comparé à trois alternatives. Elles l'achètent parce que la friction d'aller chercher ailleurs leur paraît plus élevée que la friction de signer un avenant.

Cette dynamique a un nom : la dépendance de sentier (David, 1985^[3] ; Castaldi, Dosi & Paraskevopoulou, 2011^[2]). Elle décrit le moment où une trajectoire technologique cesse d'être choisie pour devenir héritée : ce ne sont pas les meilleurs choix qui se stabilisent dans une organisation, ce sont ceux dont les coûts de changement sont devenus prohibitifs. Pour les sciences cognitives qui ont nourri ma formation, c'est aussi une signature comportementale connue : face à l'incertitude, l'architecture des choix l'emporte presque toujours sur la délibération (Thaler & Sunstein, 2008^[9]). Si vous voulez qu'une organisation utilise un outil, faites en sorte qu'il soit déjà installé. La performance réelle viendra après, ou ne viendra pas du tout. Davis (1989)^[4] avait du reste posé cette intuition dès les premiers travaux sur l'acceptation technologique en milieu professionnel : l'utilité perçue d'un outil prédit son adoption bien plus sûrement que son utilité mesurée.

« En Europe, on achète d'abord une promesse de conformité, et la qualité du produit vient ensuite — ou ne vient pas. »

L'illusion du choix souverain

On m'oppose alors, en formation comme en conférence, une objection raisonnable : « Très bien, vous critiquez Copilot. Que proposez-vous à la place ? » J'ai cherché, longtemps, une réponse propre. Je n'en ai pas, et je crois aujourd'hui qu'il est plus honnête de l'admettre.

Il faut dire les choses sans détour. L'outil le plus puissant dont je dispose aujourd'hui dans mon métier est américain : il s'appelle Claude, il est développé par Anthropic, et je m'en sers tous les jours parce qu'aucune solution européenne ne m'offre, à ce stade, la même profondeur de raisonnement, la même qualité rédactionnelle et la même fiabilité sur les tâches longues. Le dire publiquement n'est pas confortable, mais le taire serait malhonnête. La méfiance vis-à-vis des solutions américaines, je la comprends et je la partage en partie. Mais nous devons pouvoir tenir simultanément deux vérités qui se contredisent en apparence : oui, leur dépendance pose un problème stratégique majeur ; et oui, certaines d'entre elles font aujourd'hui ce que personne d'autre ne sait faire.

Et l'on touche ici à un point qu'il faut avoir le courage de regarder en face : la souveraineté numérique, en pratique, est déjà perdue depuis longtemps. Nos fichiers d'entreprise sont sur OneDrive, Google Drive, Dropbox. Nos visio sont sur Teams ou Zoom. Nos CRM sont sur Salesforce ou HubSpot. Nos infrastructures cloud tournent en grande partie chez AWS, Azure ou Google Cloud. Les mêmes organisations qui s'émeuvent aujourd'hui de voir leurs documents indexer par un LLM américain ont confié depuis dix ans la totalité de leur patrimoine documentaire à ces mêmes acteurs, sans le moindre frisson. La bataille de la souveraineté sur la donnée d'entreprise n'est pas en train de se jouer : elle a eu lieu, et nous l'avons perdue. Ce qui se joue aujourd'hui sur l'IA n'est qu'un épilogue.

Cela n'annule pas le problème ; cela le déplace. La question n'est plus de savoir si nous retrouverons une souveraineté que nous avons déjà cédée, mais comment nous construisons, dans cette dépendance assumée, des marges de manœuvre ciblées — sur les usages les plus sensibles, sur les données les plus stratégiques, sur les compétences les plus critiques. Cette posture est moins glorieuse que la rhétorique du « champion européen », mais elle a le mérite d'être opérante.

Il existe par ailleurs de remarquables initiatives françaises et européennes, et des modèles ouverts dont les poids sont téléchargeables et que l'on peut héberger sur une infrastructure souveraine. Mais ici se loge un phénomène que je vois se répéter dans plusieurs entreprises qui m'ont consulté. Des équipes de développement internes, courageuses, bâtissent leurs propres solutions — chatbots métier, copilotes intégrés aux outils maison, agents spécialisés. Le travail est sérieux, l'architecture est propre, la donnée ne sort pas. Et pourtant, ces solutions ne sont pas utilisées. Pourquoi ? Parce que le gap d'expérience utilisateur avec ChatGPT ou Claude est, aujourd'hui, abyssal. L'utilisateur final compare. Il n'a pas à connaître les contraintes de souveraineté que le projet a intégrées. Il voit qu'« en haut » ça marche, qu'« en interne » ça marche moins bien, et il retourne, l'onglet d'à côté, sur ce qui marche. Le résultat est tragique : les organisations financent en parallèle des licences américaines et des développements internes inutilisés, dans une double dépense qui n'est ni souveraine ni efficace.

C'est pourquoi je me refuse, dans mes interventions, à dresser la liste des « alternatives à Microsoft » que mes clients espèrent toujours obtenir en fin de session. Cette liste est un piège : elle redonne l'illusion d'un choix de fournisseur là où il faudrait engager un travail de fond. La question à poser n'est pas « quel outil » mais « quelle architecture, pour quels usages, portée par quelles compétences, avec quelles concessions assumées ». Tant que nous restons dans la grille « outil contre outil », nous avons déjà perdu, parce que cette grille est celle dans laquelle l'offre installée gagne toujours.

Le vrai problème n'est pas technologique

C'est ici que je voudrais déplacer le débat. Depuis trois ans, je consacre une part importante de mon activité à former des collaborateurs, des dirigeants, des enseignants, des conseillers en séjour, des travailleurs sociaux, des développeurs. À chaque fois, le constat est le même, et il a le mérite d'être simple : l'obstacle à l'intégration de l'IA dans une organisation n'est presque jamais l'outil. C'est l'organisation elle-même.

Quand je suis appelé sur un « problème d'IA », je découvre, neuf fois sur dix, un problème qui préexistait à l'IA et que personne n'avait voulu regarder. Un processus mal cartographié, qui repose sur les habitudes implicites de trois personnes. Une qualité de données interne déplorable, parce que la numérisation des années 2000 a empilé des couches sans jamais en nettoyer aucune. Des managers formés à la conduite du changement par diapositive, qui n'ont jamais accompagné une seule transformation réelle. Une répartition floue des rôles entre la DSI, le métier, et les RH. Une politique de compétences qui se limite à inscrire des gens à des sessions de trois heures.

L'IA n'a rien créé de tout cela. Elle a simplement rendu visible, parfois brutalement, ce que la numérisation des vingt dernières années n'avait pas tranché. C'est là que se joue, je crois, l'enjeu réel des cinq prochaines années : nous n'avons pas un problème d'IA, nous avons un problème de maturité organisationnelle que l'IA met à nu.

« L'IA n'a rien créé de tout cela. Elle a simplement rendu visible, parfois brutalement, ce que la numérisation des vingt dernières années n'avait pas tranché. »

Trois confusions à défaire

Si je devais résumer en trois lignes de fracture les diagnostics qui reviennent dans les organisations que j'accompagne, je dirais ceci.

1. La confusion de l'outil et de l'usage. Une licence Copilot ne forme personne. Un compte Claude ne réinvente pas un processus. L'achat d'un accès, même s'il est massif, même s'il est négocié, n'a strictement aucun rendement tant que personne ne sait quoi en faire, ni à quel moment de la journée, ni pour quelle tâche, ni avec quel niveau de vérification. J'ai vu des grands groupes dépenser des sommes considérables en licences puis ne plus rien dépenser à partir de là : pas de formation sérieuse, pas d'ateliers d'appropriation, pas de retour d'expérience structuré. Le résultat était prévisible et il a eu lieu : un taux d'adoption dérisoire et une déception généralisée que l'on imputait à « l'IA », alors qu'il fallait l'imputer à l'absence de tout sauf de l'IA.
2. La confusion de la formation et de la transformation. La formation, telle qu'elle se pratique encore largement en France, repose sur un modèle qui vient de l'ingénierie pédagogique des années 1990 : un public, un formateur, un contenu, une durée, un questionnaire à chaud. Pour des compétences stables, ce modèle fonctionne. Pour une technologie qui change tous les six mois et qui exige un changement de posture beaucoup plus qu'un changement de logiciel, il est insuffisant. Mes propres travaux de thèse, en sciences cognitives, portaient précisément sur ce qui fait qu'un apprenant s'engage durablement ou décroche dans un dispositif numérique. Les fondations en sont bien établies : la mémoire de travail dispose d'une capacité strictement limitée, dont le dépassement annule purement et simplement l'apprentissage (Sweller, 1988^[8] ; Mayer & Moreno, 2003^[6]), et les adultes en particulier n'apprennent durablement que ce qu'ils ont eu l'occasion d'appliquer rapidement à un problème concret de leur activité (Knowles, 1984^[5]). Je peux en témoigner sans ambiguïté : une session de trois heures sur ChatGPT, même brillante, ne transforme personne. Elle peut au mieux ouvrir une porte. Tout ce qui compte vient après, et tout ce qui vient après relève de la transformation, pas de la formation.
3. La confusion de la conduite du changement et de l'annonce du changement. Beaucoup de directions confondent « déployer l'IA » avec « l'annoncer dans une réunion plénière ». Or la conduite du changement réelle est un travail patient, qui suppose d'identifier les résistances légitimes — et il y en a —, de comprendre les craintes professionnelles de ceux dont le métier va effectivement être bougé par ces outils, de construire des trajectoires individuelles, de redessiner des fiches de poste, de poser les questions gênantes sur la productivité que l'on va exiger en retour, et sur le partage de la valeur qui en découlera. Kotter (1995)^[5], dans son étude longitudinale de plus de cent transformations organisationnelles, identifiait déjà cette confusion comme la première cause d'échec ; les méta-analyses contemporaines confirment que 70 à 88 % des transformations numériques manquent encore leurs objectifs initiaux, et que la cause en est presque systématiquement organisationnelle plutôt que technologique (Oludapo, Carroll & Helfert, 2024^[7]). Ce travail-là demande du temps, de la franchise, et une vraie compétence en management. Il ne tient pas dans un mail.

L'héritage non liquidé des années 2000

J'insiste sur ce point parce qu'il est rarement formulé ainsi. La numérisation des entreprises françaises, dans les années 2000 et 2010, a été conduite presque partout selon le même schéma : on a acheté des logiciels, on a câblé des réseaux, on a numérisé des documents, et on a considéré que la transformation était faite. Les questions qu'aurait dû soulever cette vague — questions de rôles, de processus, de compétences, d'architecture de l'information, de circulation du savoir — ont été systématiquement repoussées à plus tard. Le « plus tard » est arrivé sous la forme de l'IA générative.

Et c'est pour cela que tant d'organisations échouent aujourd'hui à intégrer ces outils. Non pas parce que les outils sont mauvais. Non pas parce que le RGPD les en empêche. Mais parce qu'elles n'ont jamais réglé ce qu'elles auraient dû régler depuis vingt ans, et qu'elles découvrent au moment de greffer l'IA que le sol sur lequel elles voulaient la planter n'a jamais été préparé. L'IA arrive comme un révélateur photographique : elle ne crée pas l'image, elle la rend visible. Et l'image, pour beaucoup, n'est pas confortable à regarder.

Pourquoi je rejoins ce débat — et ce que je propose

Si j'écris cette tribune aujourd'hui, ce n'est pas pour ajouter une voix de plus au concert de la déploration. C'est parce que j'ai fait le choix, en janvier 2026, de quitter mes fonctions de directeur pédagogique d'une école d'ingénierie en IA pour me consacrer pleinement à ce travail d'accompagnement. Ce choix n'est pas anodin. Il dit quelque chose de ma conviction : ce dont les organisations françaises ont besoin aujourd'hui n'est pas une formation de plus, c'est une compagnie de route.

Ce que je propose, concrètement, tient en quelques principes que mes interventions cherchent à incarner. Refuser le réflexe outil et commencer toujours par les usages et les processus. Refuser la formation hors-sol et intégrer chaque session dans une trajectoire plus longue. Refuser l'asymétrie de la conduite du changement et donner aux équipes les moyens de poser leurs questions — y compris celles qui fâchent. Refuser le marketing de la souveraineté et poser, projet par projet, la question réelle de la donnée : où va-t-elle, qui peut la lire, qu'est-ce qui justifierait un choix d'hébergement différent, et qu'est-ce qui ne le justifie pas. Refuser la posture de l'expert tombé du ciel et travailler aux côtés de ceux qui connaissent leur métier mieux que moi.

Cette exigence m'amène, et je tiens à le dire publiquement parce que je sais que cela me coûtera des missions, à accepter de plus en plus difficilement les demandes de formation centrées sur Copilot. Non par dogmatisme — je sais former sur cet outil, je connais ses fonctionnalités, je l'ai installé et testé dans plusieurs contextes — mais par honnêteté pédagogique. Quand un client me demande aujourd'hui de former ses équipes pendant une journée sur Copilot, je sais que je vais consacrer cette journée à leur enseigner les usages d'un outil qui restitue, sur la quasi-totalité des tâches, une fraction de ce que ses rivaux directs produisent en quelques secondes. Je sais aussi qu'à la fin de la journée, ces apprenants auront le sentiment d'avoir découvert les limites de l'IA générative — alors qu'ils n'auront en réalité découvert que les limites d'un produit particulier. Je sais, enfin, que ce décalage entre l'expérience qu'ils auront eue et l'état de l'art qu'ils auraient pu découvrir alimentera, dans l'organisation, un scepticisme général envers « l'IA » dont les véritables responsables seront introuvables — et qui retombera, par défaut, sur le formateur.

Former sur Copilot aujourd'hui, sans avoir d'abord montré aux apprenants ce que sait faire un assistant de premier rang, c'est, en pratique, leur vendre un fac-similé pour la chose elle-même. C'est leur faire croire qu'ils ont vu l'IA générative alors qu'ils en ont vu, au mieux, une projection appauvrie. Je considère que la responsabilité du formateur — et c'est une question de déontologie professionnelle, pas de préférence personnelle — est de refuser cette confusion. Quand je peux infléchir le cahier des charges, je propose une journée ouverte sur plusieurs outils, qui permet aux apprenants de comparer par eux-mêmes, de se forger un avis, de comprendre ce qu'ils n'auront pas en se cantonnant à l'écosystème déjà installé. Quand je ne peux pas, je décline. Cette ligne me coûte. Je l'assume.

Cette posture, je la défends parce qu'elle est aussi celle de ma formation. Une thèse en sciences cognitives, menée en CIFRE dans une entreprise, m'a appris une chose que les années de conseil m'ont confirmée : les transformations qui tiennent ne sont jamais celles que l'on impose, ce sont celles que l'on rend appropriables. Et rendre une technologie appropriable, c'est d'abord la démythifier — ni miracle, ni catastrophe, mais un outil posé dans une organisation, avec ses limites et ses possibilités, qui demande à être travaillé par celles et ceux qui vont l'utiliser.

C'est aussi pour cette raison que je rejoins aujourd'hui, comme Directeur de la Recherche, l'École des Sécurités et de la Souveraineté Numérique (E2SN, ex-ESSN), basée à Lyon, tout en poursuivant en parallèle mon activité de freelance auprès de mes clients directs. E2SN incarne, sur le terrain et dans l'architecture même de ses outils, ce que cette tribune appelle de ses vœux : une approche qui ne sépare pas la cybersécurité, l'IA et la souveraineté numérique en silos disciplinaires, qui assume une infrastructure hébergée en France et conforme aux cadres européens sans en faire un argument marketing creux, et qui s'appuie sur la recherche appliquée en sciences cognitives pour penser ses dispositifs pédagogiques plutôt que d'empiler les modules. Rejoindre E2SN à ce poste, c'est pour moi inscrire dans une structure ce que je défends ici en mon nom propre — y porter, dans la durée, l'axe recherche appliquée (sciences cognitives, apprentissage adulte, intégration de l'IA en organisation), en complément de la délégation académique et pédagogique portée par Myriam Bouton. Je serai amené, dans les mois qui viennent, à y porter notamment la question de l'accompagnement des entreprises sur l'intégration de l'IA — cette question même qui a structuré la présente tribune, et que je tiens à ne plus voir traitée comme un sujet d'outillage.

Je dis cela en assumant pleinement la part d'engagement personnel que représente cette association, et en sachant qu'aucune école, aussi bien conçue soit-elle, ne résoudra seule les difficultés structurelles que j'ai décrites dans ces pages. Mais je crois qu'il est temps que les acteurs qui partagent ce diagnostic se reconnaissent, s'organisent, et fassent exister une alternative crédible au discours dominant. C'est ce que je viens faire à E2SN, sans cesser pour autant d'accompagner directement, en tant qu'indépendant, les organisations qui me font confiance depuis trois ans.

Ce qui se joue réellement

Je voudrais terminer en disant ce que je crois être l'enjeu profond du moment. La question française et européenne n'est pas, fondamentalement, de savoir si nous aurons un jour un « champion souverain de l'IA ». Ce serait souhaitable, et des acteurs s'y emploient avec talent. Mais même ce champion, s'il advient, sera adopté ou rejeté par les mêmes organisations qui, aujourd'hui, n'arrivent pas à absorber Copilot. La question souveraine, la vraie, est en amont du choix de fournisseur : avons-nous, dans nos entreprises, dans nos administrations, dans nos structures de formation, la maturité organisationnelle pour faire quelque chose d'une technologie qui change la nature du travail intellectuel ?

Tant que cette maturité ne sera pas travaillée, peu importera le drapeau qui flotte sur le modèle. Une organisation qui ne sait pas dialoguer avec ses propres collaborateurs sur ce qui se transforme dans leur métier ne sera pas sauvée par un modèle français ; elle reproduira simplement, en bleu-blanc-rouge, les mêmes échecs qu'elle aura connus en anglais. Inversement, une organisation qui aura fait ce travail pourra tirer parti, intelligemment et de manière critique, de à peu près n'importe quel outil qu'elle choisira.

Le RGPD est un bien commun européen précieux. L'AI Act peut le devenir. La souveraineté technologique est un objectif légitime. Mais aucun de ces trois leviers ne nous dispensera de la tâche ingrate, lente, parfois inconfortable, qui consiste à ouvrir nos organisations à ce qu'elles n'ont pas voulu regarder depuis vingt ans. C'est ce travail que je choisis d'accompagner. Et c'est ce débat-là que je voudrais voir s'installer, enfin, dans le discours public français sur l'intelligence artificielle.

« Une organisation qui ne sait pas dialoguer avec ses propres collaborateurs sur ce qui se transforme dans leur métier ne sera pas sauvée par un modèle français ; elle reproduira simplement, en bleu-blanc-rouge, les mêmes échecs qu'elle aura connus en anglais. »