Dépendance technologique IA : gouverner avant que ce soit irréversible

Dépendance technologique — Christophe Picou — Mai 2026

Une ETI industrielle de 600 millions d'euros de chiffre d'affaires prépare sa cession à un fonds anglo-saxon. Pendant la due diligence, l'acquéreur demande une estimation du coût de migration des principaux outils SaaS. Le COMEX découvre que l'ensemble de la relation client repose sur un CRM dont les agents IA, les workflows automatisés et les modèles de prédiction de churn ont été affinés sur trois ans de données propriétaires. L'estimation de migration dépasse le budget annuel de la DSI.

L'acquéreur ne s'en émeut pas particulièrement. Il intègre la donnée dans son offre. Le multiple de valorisation est revu à la baisse de 0,4 fois l'EBITDA pour tenir compte du risque de captivité technologique. Le vendeur encaisse un préjudice direct chiffrable. Personne ne se trompe sur l'enchaînement : la dépendance technologique IA, contractée sans plan de sortie, est désormais une variable de valorisation.

Ce scénario, qui aurait été marginal il y a cinq ans, devient récurrent en 2026. Les due diligences intègrent désormais une revue systématique des dépendances IA critiques. La raison est simple : la dépendance IA ne se comporte pas comme la dépendance logicielle classique, et les acheteurs financiers ont appris à le mesurer.

Pourquoi la dépendance IA est différente

Quatre différences structurelles séparent la dépendance IA de la dépendance SaaS pré-IA. Premièrement, le cycle de vie. Un CRM ou un ERP traditionnel vit cinq à dix ans. Un modèle IA propriétaire vit douze à dix-huit mois. OpenAI documente publiquement le calendrier de dépréciation de ses modèles : sept familles retirées entre 2023 et 2026, parfois avec un préavis inférieur à six mois. Microsoft Azure applique un retrait par défaut à dix-huit mois après la mise en disponibilité générale. Une organisation qui a investi dans un cas d'usage critique fondé sur un modèle spécifique doit, par construction, prévoir sa migration avant même que l'usage soit pleinement amorti.

Deuxièmement, l'engagement de la donnée. Le fichier client stocké chez un éditeur classique est récupérable. Le fine-tuning conduit sur un modèle propriétaire, les embeddings produits pour la récupération augmentée, les modèles d'agents formés à des workflows internes ne sont pas portables. Quitter le fournisseur signifie réinvestir le coût d'entraînement et perdre la valeur accumulée par l'ajustement.

Troisièmement, la tarification. Le SaaS classique facturait au siège utilisateur, avec une visibilité budgétaire annuelle. L'IA introduit un second compteur : Salesforce facture les Agent Work Units, Microsoft les Copilot Credits, les API propriétaires facturent au token consommé. L'index 2026 SaaS Management de Zylo documente une inflation tarifaire moyenne de 8 à 12 % par an sur les renouvellements et de 15 à 25 % chez les éditeurs les plus agressifs, soit environ cinq fois le rythme de l'inflation générale. Un budget IA construit en 2024 est obsolète en 2026.

Quatrièmement, la modification unilatérale des conditions d'usage. Anthropic a modifié sa Usage Policy en juin 2024, en septembre 2025 et en février 2026. OpenAI a introduit un opt-in entraînement par défaut sur ses offres grand public en septembre 2025, avec rétention portée à cinq ans pour les comptes Consumer et Pro. SAP, le 27 avril 2026, a modifié sa politique d'API pour interdire l'accès des agents IA tiers à ses données ERP, sans communiqué proactif. Une organisation peut découvrir, sans préavis substantiel, que les conditions sur lesquelles elle a construit son cadre de gouvernance ont changé.

L'asymétrie de connaissance

Au-delà du coût de migration technique, la dépendance IA introduit une asymétrie qui n'a pas d'équivalent dans le SaaS pré-IA. Pendant la durée de la relation, l'éditeur observe l'usage : prompts, schémas de requêtes, performance, points de friction, cas d'usage qui marchent et cas d'usage qui échouent. Cet observatoire est, pour l'éditeur, un actif d'amélioration produit. Pour le client, c'est une exposition. Quand un éditeur facture l'usage, il a, en parallèle, observé sa cliente travailler. La valeur qu'il a construite à partir de cette observation reste chez lui à la fin du contrat.

Cette asymétrie n'est pas illégitime. Elle est constitutive du modèle économique. Elle doit en revanche être anticipée. Une organisation qui industrialise un usage IA sur des données stratégiques fournit gratuitement à son fournisseur un signal d'innovation que ce dernier monétisera, parfois auprès de concurrents. La donnée brute reste à l'organisation. La compréhension produite à partir de cette donnée, par le fournisseur, reste au fournisseur.

Trois décisions structurantes

La gouvernance d'une dépendance IA tient en trois décisions, à prendre avant l'engagement et non après. Premièrement, la cartographie. Pour chaque cas d'usage IA envisagé, on identifie le fournisseur ultime - non l'intégrateur en surface, le concepteur du modèle ou de l'infrastructure -, les données engagées, les fonctions critiques touchées au sens FINMA ou DORA, les dépendances en cascade (un modèle Mistral via Azure dépend simultanément de Mistral, d'Azure et de l'infrastructure GPU NVIDIA sous-jacente).

Deuxièmement, les seuils de non-délégation. Quelles décisions, quels processus, quels engagements ne se délègent pas à un système IA, quel que soit son niveau de performance. La Guidance FINMA 08/2024 le formule pour les institutions financières suisses : la responsabilité des décisions ne peut être déléguée à l'IA ou à des tiers. Cette formulation se transpose au-delà du secteur financier. La ligne se trace au niveau du COMEX, pas de la DSI.

Troisièmement, le plan de réversibilité. Pour chaque dépendance qualifiée de critique, un plan documenté précise les pré-requis techniques d'une bascule, les fournisseurs alternatifs testés, les délais et coûts réalistes, les compétences à mobiliser. L'article 28 paragraphe 8 du règlement DORA en fait une obligation opposable pour le secteur financier européen depuis le 17 janvier 2025. Les audits BaFin et Deutsche Bundesbank documentés en 2025 montrent toutefois que la majorité des institutions classent leurs services tiers comme difficiles ou irremplaçables, sans plan de sortie fonctionnel. La conformité formelle ne suffit pas.

Le COMEX qui découvre la dépendance pendant la due diligence de cession n'a pas commis d'erreur stratégique en intégrant l'IA. Il a commis une erreur de gouvernance en ne posant pas ces trois décisions avant l'engagement. Le coût de la rétroactivité est élevé.