On parle beaucoup de souveraineté en se demandant où sont hébergées les données. C'est nécessaire, mais insuffisant. Une IA moderne est en grande partie une boîte noire : elle produit une réponse sans que personne, pas même ses concepteurs, ne puisse retracer exactement le calcul qui y mène. Pour une organisation, être souverain, c'est aussi pouvoir expliquer, tracer et auditer une décision assistée par l'IA. Bonne nouvelle : certaines choses sont à votre portée. Moins bonne : une « explication » générée n'est pas une preuve du vrai raisonnement. Voici ce que vous pouvez réellement obtenir, et où se situe la limite.
La souveraineté ne s'arrête pas à l'emplacement des données
Savoir dans quel pays vos fichiers sont stockés compte. Mais le jour où une IA participe à un choix qui engage — accorder un crédit, trier des candidatures, prioriser une intervention — la vraie question devient : pouvez-vous justifier cette décision ? C'est là que la boîte noire pose problème. Trois choses restent pourtant accessibles, et forment le socle de tout contrôle (Fig. 1).
D'abord, des sources citées. Certains outils rattachent chaque affirmation à un lien vérifiable : Perplexity a été le premier assistant grand public à afficher ses citations en ligne, et NotebookLM ancre ses réponses dans les documents que vous lui fournissez, en pointant le passage exact. Ensuite, des journaux : garder trace de qui a demandé quoi, quand, et quelle réponse a été rendue permet de rejouer un cas et de retrouver une décision. Enfin, l'IA peut décrire ses étapes — exposer le raisonnement qui semble mener à sa conclusion. Lisible, rassurant. Trop, peut-être.
Une explication générée n'est pas une preuve
C'est le point que la publicité des outils passe sous silence. Quand un modèle déroule son « raisonnement » étape par étape, ce texte n'est pas la trace fidèle de ce qui s'est passé à l'intérieur. Des travaux de recherche l'ont montré noir sur blanc : les explications produites peuvent fausser systématiquement la vraie raison d'une réponse.
Une étude de référence (Turpin et coll., 2023) a glissé un indice biaisant dans les questions posées à des modèles — par exemple en réordonnant les options d'un QCM pour pousser vers une mauvaise réponse. Résultat : les modèles adoptaient la réponse suggérée puis rédigeaient une explication convaincante pour la justifier, sans jamais mentionner l'indice qui les avait réellement orientés, avec des baisses d'exactitude allant jusqu'à 36 % sur les tâches testées. Des travaux plus récents confirment que ces chaînes de raisonnement ne sont pas toujours fidèles, y compris sur des questions banales. Autrement dit : l'explication est reconstruite a posteriori. Elle peut être parfaitement cohérente et pourtant masquer ce qui a vraiment pesé. C'est une rationalisation, pas une radiographie du calcul. Le référentiel du NIST sur la gestion des risques de l'IA le formule autrement : l'explicabilité est une représentation des mécanismes, pas le mécanisme lui-même.
La conséquence est directe : on ne pilote pas un usage sensible en faisant confiance à la belle histoire que l'outil raconte sur lui-même. Il faut des garde-fous extérieurs à l'IA — exactement ce que suppose décider jusqu'où faire confiance à une IA plutôt que de la croire sur parole.
Auditer, ce n'est pas croire : c'est recouper
Puisque l'explication ne suffit pas, l'audit repose sur ce que vous pouvez vérifier de l'extérieur. Trois exigences concrètes rendent une IA contrôlable (Fig. 2), et elles se tiennent quel que soit l'outil.
- Préférez les outils qui citent leurs sources. Une réponse sans origine vérifiable ne s'audite pas. Et méfiez-vous : une source correctement citée peut être mal résumée — rouvrez le document plutôt que de vous fier au résumé.
- Conservez des journaux. Demandes, dates, réponses : sans historique, une dérive passe inaperçue et aucune décision ne peut être rejouée ou justifiée plus tard.
- Testez sur des cas connus. Soumettez régulièrement à l'outil des dossiers dont vous connaissez déjà la bonne réponse. L'écart entre l'attendu et l'obtenu en dit plus long que n'importe quelle explication auto-générée.
- Gardez un humain capable de justifier. Quelqu'un doit pouvoir défendre la décision devant un client, un auditeur ou un juge — sans se retrancher derrière « c'est l'IA qui l'a dit ».
Le droit va dans le même sens, et il est plus exigeant qu'on ne le croit. Le règlement européen sur l'IA impose, pour les usages sensibles, une transparence suffisante pour interpréter les résultats (article 13), une supervision humaine réelle — pouvoir comprendre, contredire et arrêter le système (article 14) — et surtout un enregistrement automatique des événements, ces journaux qui assurent la traçabilité tout au long de la vie du système (article 12). Côté données personnelles, le RGPD encadre les décisions entièrement automatisées (article 22) et prévoit qu'une personne puisse obtenir une explication de la décision qui la concerne et la contester. La CNIL, de son côté, fait de l'explicabilité et de la traçabilité des exigences de fond, tout en reconnaissant honnêtement la difficulté d'expliquer certains traitements complexes. Ce cadrage prolonge directement ce qu'implique d'encadrer l'usage de l'IA dans votre entreprise, et il compte double dès qu'une IA accède à vos outils et à vos données pour agir.
Ouvrir la boîte noire ne veut donc pas dire tout comprendre du modèle — c'est hors de portée aujourd'hui, et le prétendre serait malhonnête. Cela veut dire construire, autour de l'IA, ce qui manque à l'intérieur : des sources qu'on peut rouvrir, des traces qu'on peut relire, des tests qu'on peut rejouer, et un humain qui assume. La souveraineté, ici, n'est pas une question d'emplacement : c'est la capacité de rendre des comptes.
- Souveraineté ≠ seulement l'hébergement : c'est pouvoir expliquer, tracer et auditer une décision assistée par l'IA.
- Ce que vous pouvez obtenir : des sources citées (Perplexity, NotebookLM), des journaux, une IA qui décrit ses étapes.
- La limite honnête : une explication générée est souvent une rationalisation après coup, pas la preuve du vrai raisonnement.
- Auditer, c'est recouper : exiger des sources vérifiables, conserver des journaux, tester sur des cas connus, garder un humain qui justifie.
- Le droit suit : transparence et supervision (règlement IA, art. 13-14), journalisation (art. 12), explication et contestation (RGPD, art. 22).
Sur la maîtrise et la confiance : jusqu'où faire confiance à une IA, encadrer l'usage de l'IA dans votre entreprise. Et côté agents qui agissent : connecter une IA à vos outils sans ouvrir toutes les portes.
Cette analyse fait partie de notre veille Outils & IA. Pour garder la main sur vos décisions assistées par l'IA, téléchargez l'Atlas IA 2026 et abonnez-vous à la newsletter AISKILLSPRO.
Au-delà de l'IA, retrouvez nos guides, tutoriels et modules Odoo sur OdooSkills, le blog Odoo ↗ (nouvel onglet).