Auditer l'usage de l'IA dans son équipe : 6 questions essentielles à poser

Votre équipe utilise l'IA, mais savez-vous vraiment comment ?

Un chiffre suffit à poser le décor. Selon les repères publiés par l'Anact, l'introduction de l'intelligence artificielle dans les organisations bouleverse profondément l'organisation du travail, les compétences mobilisées et jusqu'au sens que les collaborateurs accordent à leurs missions. Ce n'est plus une question de futur. C'est le présent de la plupart des équipes.

Pourtant, il existe un paradoxe profondément ancré dans de nombreuses entreprises. D'un côté, les managers encouragent l'adoption de l'IA pour gagner en productivité. De l'autre, ils n'ont souvent aucune visibilité précise sur ce que leurs équipes font réellement avec ces outils. Qui utilise quoi ? Dans quel contexte ? Avec quelles données ? Pour obtenir quels résultats ? Ces questions restent, dans une grande majorité de cas, sans réponse formelle.

C'est précisément là que l'audit d'usage devient indispensable. Non pas comme un outil de contrôle ou de surveillance, mais comme un exercice de lucidité collective. Faire le point, structurer les pratiques, identifier les angles morts — et transformer ce qui se fait déjà en levier de performance réelle et durable.

Cet article vous propose six questions concrètes pour conduire cet audit, inspirer des conversations utiles avec vos collaborateurs, et poser les bases d'une gouvernance de l'IA qui tient la route.

---

Pourquoi auditer l'IA en équipe n'est pas optionnel

Un usage massif, mais souvent invisible

L'IA générative s'est diffusée dans les entreprises à une vitesse que peu de directions informatiques ont anticipée. ChatGPT, Copilot, Gemini, Mistral, Perplexity — la liste est longue. Et la grande majorité de ces outils sont accessibles directement, sans validation préalable, depuis un simple navigateur.

Ce phénomène a un nom : le shadow IT de l'IA. Des collaborateurs utilisent des outils non référencés, parfois en transmettant des données sensibles à des serveurs externes, sans que l'organisation en soit informée. Ce n'est pas de la mauvaise volonté. C'est souvent le résultat d'une absence de cadre clair.

D'après le cadre d'audit proposé par la CNIL, les questions de finalité, de données, de transparence et de gouvernance doivent être posées systématiquement avant même de généraliser un usage d'IA dans une organisation. Mais ces questions s'appliquent tout autant aux usages déjà en cours — ceux qui se sont installés progressivement, sans cadre formel.

Le rôle central du management

Le manager n'est pas un technicien de l'IA. Son rôle n'est pas de comprendre les algorithmes. Il est de créer les conditions dans lesquelles l'IA est utilisée de façon utile, sécurisée et alignée avec les objectifs de l'équipe.

Cela suppose une posture active. Non pas interdire par défaut, ni laisser faire sans discernement. Mais structurer, encadrer, et accompagner. Selon les recommandations d'Onyri sur l'audit des processus métier, le management joue un rôle déterminant dans la clarification des usages acceptables et dans la sécurisation des pratiques au quotidien.

Conduire un audit d'usage, c'est justement exercer ce rôle. Avant d'aller plus loin, voici les six questions à poser.

---

Les 6 questions pour cartographier les usages réels

Question 1 : quels outils sont réellement utilisés, et par qui ?

Commencez par l'inventaire. Cette première question paraît simple. Elle est en réalité souvent révélatrice.

Dans une même équipe de dix personnes, vous pouvez trouver trois collaborateurs qui utilisent ChatGPT quotidiennement, deux qui ont essayé Copilot une fois sans y revenir, et cinq qui n'utilisent aucun outil d'IA de façon consciente — tout en utilisant des fonctionnalités IA intégrées dans leurs logiciels habituels sans le savoir.

L'objectif n'est pas de dresser un procès-verbal. C'est de disposer d'une carte réelle des pratiques. Quels outils sont actifs ? Lesquels sont abandonnés après essai ? Qui sont les utilisateurs réguliers, et qui sont les sceptiques ? Cette cartographie est le socle de tout le reste.

Posez cette question en entretien individuel ou lors d'un atelier d'équipe. Créez un espace psychologiquement sûr où chacun peut répondre sans crainte de jugement. Les usages qui remontent seront souvent surprenants — dans les deux sens.

Question 2 : sur quelles tâches l'IA est-elle mobilisée ?

Une fois les outils identifiés, il faut comprendre le contexte d'usage. L'IA est-elle utilisée pour rédiger des emails ? Synthétiser des documents ? Générer des rapports ? Préparer des présentations ? Coder ? Analyser des données ?

Cette question permet de distinguer deux grandes catégories d'usage. D'un côté, les tâches à faible valeur ajoutée — répétitives, chronophages, peu différenciantes — où l'IA apporte un gain de temps évident et un faible risque. De l'autre, les tâches à forte valeur ajoutée — analyse stratégique, relation client, prise de décision — où l'IA peut aider, mais où la vigilance s'impose.

Selon la grille d'audit proposée par Onyri, l'identification précise des tâches concernées est indispensable pour évaluer les impacts réels sur les métiers, les compétences mobilisées et la qualité des livrables produits. C'est aussi ce qui permet d'identifier les opportunités d'optimisation que vous n'avez peut-être pas encore envisagées.

Question 3 : quelles données sont transmises aux outils d'IA ?

C'est souvent la question la plus délicate. Et pourtant, c'est l'une des plus importantes.

Lorsqu'un collaborateur copie-colle un contrat client dans ChatGPT pour en obtenir un résumé, il transmet potentiellement des données confidentielles à un service externe. Même chose lorsqu'il soumet une liste de prospects, un rapport financier, ou un échange de mails sensible.

La plupart des outils d'IA générative grand public stockent les données saisies et peuvent les utiliser pour entraîner leurs modèles — sauf configuration contraire explicite. C'est précisément l'un des points que la CNIL souligne dans son guide entreprise : la question des données est centrale, et elle doit être posée dès le début, pas après un incident.

Lors de votre audit, demandez explicitement quels types de données sont intégrés dans les requêtes adressées aux IA. Sans accusation. Avec pédagogie. L'objectif est de sensibiliser, pas de sanctionner.

---

Identifier les risques et les manques de compétences

Question 4 : les résultats produits par l'IA sont-ils vérifiés ?

L'IA génère des erreurs. Elle hallucine des faits, invente des sources, produit des raisonnements plausibles mais faux. Ce n'est pas un défaut marginal. C'est une caractéristique structurelle des modèles de langage actuels.

La vraie question n'est donc pas "est-ce que l'IA se trompe ?" — la réponse est oui, régulièrement. La vraie question est : "est-ce que mes collaborateurs le savent, et est-ce qu'ils vérifient ?"

Un contenu produit par IA et publié sans relecture peut contenir des inexactitudes factuelles. Un code généré et intégré sans test peut introduire des vulnérabilités. Une analyse financière synthétisée par IA sans vérification peut conduire à une mauvaise décision.

Lors de l'audit, explorez les pratiques de validation. Existe-t-il une étape de vérification systématique ? Qui en est responsable ? Comment les erreurs sont-elles détectées et corrigées ? L'Anact recommande d'interroger spécifiquement les effets de l'IA sur la qualité du travail produit et sur la capacité des équipes à maintenir leur expertise critique face à des outils de plus en plus performants.

Question 5 : les compétences nécessaires sont-elles présentes dans l'équipe ?

Utiliser l'IA efficacement, cela s'apprend. Ce n'est pas inné, et ce n'est pas réservé aux profils techniques. Mais cela demande des compétences spécifiques, souvent sous-estimées.

La plus connue est le prompting — l'art de formuler des instructions claires, précises et contextualisées pour obtenir des résultats utiles. Mais il en existe d'autres. La capacité à évaluer la pertinence d'une réponse. La connaissance des limites de l'outil. La compréhension des enjeux de confidentialité. Le sens critique face à un contenu généré.

Ces compétences ne se répartissent pas uniformément dans une équipe. Certains collaborateurs les ont développées seuls, par curiosité. D'autres n'ont jamais été formés. Cette asymétrie crée des inégalités dans l'usage — et parfois des risques, quand un collaborateur peu formé utilise l'IA avec confiance mais sans recul.

L'audit doit donc inclure une évaluation honnête du niveau de compétences existant. Pas pour classer les gens, mais pour identifier où concentrer les efforts de formation. Les ressources disponibles pour accompagner cette montée en compétences se multiplient — des programmes internes aux certifications spécialisées, en passant par les guides pratiques que proposent des acteurs comme Onyri dans leur approche d'accompagnement.

Question 6 : existe-t-il un cadre de gouvernance clair pour l'usage de l'IA ?

Dernière question, et non des moindres. Elle porte sur le cadre formel — ou son absence.

Est-ce que votre équipe dispose de règles explicites sur ce qu'il est permis de faire avec l'IA ? Sur les outils autorisés ? Sur les données qui ne doivent jamais être transmises ? Sur la façon de signaler un usage problématique ? Sur la transparence à adopter vis-à-vis des clients ou partenaires quand un livrable a été produit avec l'aide d'une IA ?

Dans la grande majorité des entreprises françaises, la réponse honnête est : non. Ou du moins : pas encore. Ce vide n'est pas anodin. Il expose l'organisation à des risques légaux, réputationnels et opérationnels. Et il place les collaborateurs dans une position inconfortable — celle d'improviser des règles au cas par cas, sans filet.

Construire une gouvernance de l'IA ne nécessite pas un projet de plusieurs mois ni un budget conséquent. Cela commence par un document simple, co-construit avec les équipes, qui précise les usages acceptables et les lignes rouges. C'est exactement ce que préconise le guide de la CNIL pour les projets IA en entreprise, en insistant sur la nécessité d'une documentation claire des finalités, des données traitées et des responsabilités associées.

---

Transformer l'audit en plan d'action concret

De l'inventaire aux décisions

Conduire un audit sans en faire quelque chose, c'est passer beaucoup de temps pour peu de résultats. Une fois les six questions posées et les réponses collectées, l'enjeu est de transformer ce diagnostic en décisions concrètes.

Trois niveaux d'action sont généralement utiles. Le premier est immédiat : identifier les pratiques à risque — notamment sur la question des données — et les corriger rapidement avec des consignes claires. Le deuxième est structurel : définir la gouvernance, choisir les outils recommandés, formaliser les règles d'usage dans un document accessible à tous. Le troisième est stratégique : identifier les opportunités d'optimisation, les tâches qui gagneraient à être davantage assistées par l'IA, et les formations à mettre en place pour monter en compétences collectivement.

L'Anact propose des repères opérationnels pour accompagner ce type de démarche, en insistant sur l'importance d'impliquer les collaborateurs eux-mêmes dans la régulation des usages — plutôt que de leur imposer des règles venues d'en haut.

L'audit comme rituel, pas comme événement unique

L'IA évolue vite. Très vite. Un outil inexistant il y a six mois peut être devenu incontournable pour la moitié de votre équipe aujourd'hui. Une pratique jugée acceptable en début d'année peut devenir problématique au regard d'une nouvelle réglementation.

Cela signifie que l'audit d'usage n'est pas un exercice ponctuel. C'est un rituel à intégrer dans le cycle de management, au même titre qu'une revue de performance ou un bilan de compétences. Une ou deux fois par an, reprendre les six questions, actualiser la cartographie, ajuster le cadre. C'est cette régularité qui transforme l'audit en véritable outil de pilotage.

Selon les analyses publiées sur l'audit des processus métier par Onyri, les organisations qui maintiennent une veille active sur leurs usages d'IA sont mieux positionnées pour saisir les opportunités émergentes — et pour éviter les erreurs que d'autres paient parfois au prix fort.

---

Conclusion : l'audit d'IA, un acte de management responsable

Faire le point sur l'usage de l'IA au sein de son équipe, ce n'est pas une démarche bureaucratique. C'est un acte de management responsable, au sens le plus concret du terme.

Responsable envers les collaborateurs, qui méritent un cadre clair pour utiliser ces outils avec confiance et sans risque. Responsable envers l'organisation, qui doit protéger ses données et sa réputation. Responsable envers les clients et partenaires, qui ont le droit de savoir comment leurs informations sont traitées.

Les six questions posées dans cet article — usages réels, tâches concernées, données transmises, qualité des résultats, compétences présentes, gouvernance existante — forment une grille simple et robuste. Elle ne demande pas de compétences techniques avancées. Elle demande du temps, de l'écoute et une volonté sincère de regarder la réalité en face.

L'IA va continuer de progresser. Les usages vont se multiplier. Les risques aussi. Les organisations qui prennent le temps d'auditer et de structurer leurs pratiques dès maintenant ne seront pas seulement plus sûres — elles seront plus efficaces, plus cohérentes, et mieux armées pour faire de l'IA un avantage compétitif réel plutôt qu'une source de friction silencieuse.

L'audit, c'est le point de départ. Ce que vous en ferez, c'est ce qui fera la différence.