Souveraineté IA : le nouvel impératif des enquêtes internes
La souveraineté numérique devient très concrète lorsqu’une entreprise ouvre une enquête interne. Une alerte anticorruption, un soupçon de fraude ou une violation de sanctions impose de traiter courriels, messages, contrats, factures et données RH. Ces corpus sont massifs et hétérogènes. Pour les trier, les traduire, les résumer ou repérer des signaux faibles, l’IA s’impose. Mais elle ajoute à la chaîne d’enquête un tiers technique susceptible d’accéder aux données les plus sensibles.
La DGSI a posé les termes du problème à propos des cabinets étrangers. Dans un Flash de janvier 2024, elle rappelle que des lois extraterritoriales peuvent amener à des audits intrusifs, la captation d’informations ou de technologies sensibles, voire la déstabilisation de concurrents.1 Un rapport parlementaire sur la guerre économique vise les données sensibles confiées à des prestataires étrangers (banques, fonds, cabinets de conseil, d’audit, d’avocats ou commissaires aux comptes), dont le recours « peut induire de fortes vulnérabilités, avec un risque de fuite de données, en particulier lorsque ces dernières sont stockées à l’étranger ».2 Dans une enquête interne, l’IA joue précisément ce rôle : elle traite des données pour l’entreprise. Prompts, fichiers importés, historiques et connecteurs peuvent contenir secrets d’affaires, données personnelles, échanges protégés ou informations utiles à une autorité étrangère. La DGSI a ainsi étendu son alerte à l’IA. Dans son Flash de décembre 2025, elle décrit le cas d’une entreprise ayant délégué l’évaluation de l’intégrité de ses partenaires commerciaux, à un outil fondé sur une IA créé par une entreprise étrangère, qui lui fournit un rapport d’évaluation sur son potentiel partenaire.3
Le même document évoque une due diligence confiée à un outil d’IA étranger sans contrôle humain, puis une fraude par deepfake imitant un dirigeant.4 Le risque n’est donc pas seulement la fuite : c’est aussi l’erreur, le biais, l’opacité et la manipulation permise par la législation de certains pays étrangers. L’enquête interne concentre ces vulnérabilités. L’AFA et le PNF rappellent qu’elle peut suivre une alerte et qu’elle doit être menée de façon loyale et structurée, dans le respect des droits et libertés individuelles.5 L’usage de l’IA doit donc préserver la confidentialité, mais aussi l’intégrité probatoire. Un résumé automatique, une traduction non vérifiée ou un classement opaque peuvent orienter les conclusions. La CNIL souligne que l’IA générative sert à retraiter, traduire, trier ou synthétiser des documents, mais qu’une confiance excessive dans ses résultats peut conduire à des conclusions erronées.6
La réponse n’est pas de renoncer à l’IA, mais de la gouverner. Pour les dossiers sensibles, une doctrine minimale s’impose : classification préalable ; interdiction des IA publiques pour les pièces d’enquête ; hébergement en France ou dans l’Union européenne, voire traitement local ; absence contractuelle d’entraînement ; chiffrement, cloisonnement et journalisation ; conservation maîtrisée ; revue humaine ; clauses sur la sous-traitance, les transferts et la notification d’incident. Ces exigences rejoignent les recommandations de la DGSI : encadrer l’usage de l’IA, privilégier des solutions françaises ou locales, ne pas soumettre de données personnelles aux outils ouverts et vérifier les résultats par des experts qualifiés.7
La souveraineté IA n’est pas un réflexe protectionniste. Elle devient une condition de sécurité économique, de conformité et de crédibilité probatoire. Une enquête interne ne vaut que si l’entreprise peut démontrer qu’elle maîtrise confidentialité, intégrité et traçabilité.
Article paru dans Option finance le 11 mai 2026
