Conformité, IA, risques réels : l'approche DGSI dont la formation en entreprise pourrait s'inspirer

Former à la conformité reste, dans beaucoup d’entreprises, un exercice normatif et abstrait, centré sur les règles plus que sur les pratiques. En choisissant la mise en situation pour traiter des risques liés à l’IA, la DGSI adopte une approche radicalement différente. Non seulement elle rend le risque concret et intelligible, mais elle propose, sans le dire, une méthode directement transposable à toutes les formations conformité : partir des usages réels, et non des textes.

La DGSI rompt avec le discours technico-juridique

Les prises de parole institutionnelles sur l’IA suivent généralement le même canevas : énoncé des menaces, rappel des cadres réglementaires, appel à la vigilance individuelle. Le message est clair, mais l’impact pédagogique reste limité, car trop éloigné des pratiques réelles. La note publiée par la DGSI tranche nettement avec cette tradition. Elle ne part pas des textes, mais des usages ; non du droit, mais des situations concrètes dans lesquelles les salariés mobilisent des outils d’IA générative. Ce choix traduit une lecture fine du terrain : les risques liés à l’IA ne naissent pas dans des projets structurants pilotés par des experts, mais dans des gestes ordinaires, banalisés, intégrés au quotidien. Un prompt rédigé dans l’urgence, un document interne copié-collé dans un outil externe, une requête effectuée sans conscience des flux de données sous-jacents. C’est dans cette zone grise, entre efficacité opérationnelle et inconscience du risque, que se jouent les véritables vulnérabilités, qu’elles relèvent de l’ingérence, de la fuite d’information ou de l’exposition stratégique de l’entreprise.

La mise en situation comme révélateur pédagogique

Le cœur du document repose sur une série d’études de cas. Chaque scénario décrit un enchaînement crédible : une intention légitime, souvent encouragée par l’organisation elle-même ; un gain de productivité immédiat ; un résultat jugé satisfaisant par l’utilisateur. Et, en arrière-plan, un risque invisible sur le moment, mais bien réel. Ce décalage entre bénéfice perçu et exposition latente constitue le ressort pédagogique central de la démarche. En racontant des situations plausibles plutôt qu’en énumérant des menaces, la DGSI quitte le registre de l’alerte abstraite pour entrer dans celui de la compréhension opérationnelle. Le lecteur se reconnaît dans les pratiques décrites, ce qui change radicalement la réception du message. Là où un discours normatif suscite souvent une adhésion de façade, la mise en situation oblige à un questionnement intime des usages. Elle révèle que le risque ne tient pas à la technologie en elle-même, mais à la manière dont elle est intégrée dans les gestes professionnels.

Une source d’inspiration directe pour les départements formation

Pour les départements formation, l’intérêt est immédiat. L’approche par études de cas constitue un levier pédagogique éprouvé, mais encore trop peu mobilisé sur les sujets technologiques sensibles, souvent traités sous l’angle de la conformité ou de la sécurité. Or l’IA, par sa diffusion rapide et la diversité de ses usages, se prête particulièrement bien à ce type de traitement. Les cas proposés par la DGSI peuvent servir de base à des modules e-learning scénarisés, à des ateliers d’analyse collective ou à des mises en situation animées, en présentiel comme à distance. Leur véritable valeur tient à leur capacité de déclinaison. Rien n’impose de les reprendre tels quels. Une entreprise industrielle, un cabinet de conseil, une banque ou un acteur de la défense n’exposent ni les mêmes données, ni les mêmes partenaires, ni les mêmes dépendances technologiques. Construire ses propres cas, ancrés dans les métiers et les pratiques internes, devient alors un acte de formation à part entière. Le travail de description et de formalisation des situations à risque contribue lui-même à la montée en maturité de l’organisation.

Une méthode transposable à toutes les formations conformité

L’enseignement dépasse largement le seul champ de l’intelligence artificielle. Cette pédagogie par la mise en situation constitue un modèle directement applicable à l’ensemble des formations conformité : cybersécurité, protection des données, lutte contre la corruption, confidentialité, respect des règles internes. Dans tous ces domaines, les mêmes limites apparaissent dès que la formation se réduit à une approche déclarative ou à une lecture commentée des obligations. La mise en situation permet de rendre visibles les zones grises, les arbitrages implicites, les décisions prises sous contrainte de temps, de performance ou de pression hiérarchique. Elle reconnecte la conformité aux réalités du travail, là où elle est trop souvent perçue comme une contrainte extérieure ou un discours hors-sol. Former par les usages, par le réel, par l’exemple : c’est précisément la méthode que la DGSI met en pratique ici, et que les départements formation gagneraient à généraliser pour transformer durablement les comportements.

Source : DGSI, Risques associés à l’usage de l’intelligence artificielle dans le monde professionnel

Par la rédaction d’e-learning Letter