Le constat de fond
L'IA entre dans l'automobile à une vitesse que la gouvernance n'a pas suivie. Le marché mondial de l'IA automobile atteint 12,84 milliards de dollars en 2025, projeté à 14,99 milliards en 2026, avec un taux de croissance annuel composé de 16,7 %. Stellantis déploie en 2024-2025 un partenariat stratégique avec Mistral AI couvrant le contrôle qualité, la gestion des incidents de ligne et les assistants embarqués. Renault construit son Software Defined Vehicle sur Google Cloud. Valeo déclare que plus de 25 % de son code automobile est désormais généré par IA.
Ces déploiements sont documentés. Ce qui ne l'est pas, c'est leur gouvernance effective. Selon PwC France (mai 2025), moins d'un tiers des entreprises manufacturières parviennent à déployer l'IA à l'échelle opérationnelle. La majorité reste bloquée au stade de la preuve de concept, faute de structure de décision. En Suisse, l'étude ETH Zurich / Swissmem (2024-2025) confirme que le recours à l'IA dans l'industrie technique helvétique n'en est qu'à ses débuts, avec un déficit structurel de données et de cadres de gouvernance dans les ETI.
Le problème central n'est pas l'adoption. C'est que les décisions d'intégration IA — choix de plateforme, conditions contractuelles avec les éditeurs PLM, traitement des données de conduite, déploiement des ADAS — engagent la direction générale sans que la direction générale soit outillée pour les arbitrer. Ces décisions ont été déléguées à la DSI, aux équipes R&D, ou directement absorbées dans les contrats de licence signés sans audit spécifique.
Ce que l'AI Act ADAS change pour les constructeurs et équipementiers en 2026
Les systèmes d'aide à la conduite avancés sont classés à haut risque au sens de l'Article 6 de l'AI Act européen, via les règlements UE 2018/858 et 2019/2144 relatifs à la réception par type. Les obligations — évaluation de conformité, gestion des risques, absence de biais dans les données d'entraînement, supervision humaine — s'appliquent aux systèmes embarqués dans des véhicules mis sur le marché à partir du 2 août 2027.
Un point que les directions générales ne mesurent pas encore : un constructeur qui intègre un système ADAS développé par un équipementier se retrouve à la fois fournisseur (quand il développe sous sa marque) et déployeur (quand il utilise des modèles tiers). Les Articles 16 et 25 de l'AI Act cumulent les obligations sur ces deux positions. La Directive sur la responsabilité produits défectueux révisée (2024/2853), applicable aux produits mis sur le marché à partir du 9 décembre 2026, inclut désormais le logiciel et l'IA comme produit — y compris les mises à jour OTA.
L'articulation entre l'AI Act et le type-approval UNECE WP.29 (règlements R155, R156, R157) n'a pas encore fait l'objet d'actes délégués de la Commission européenne. Les constructeurs et équipementiers déposeurs de dossiers de conformité s'exposent à une duplication des exigences jusqu'à clarification. Ce vide réglementaire temporaire est lui-même un risque de gouvernance.
« La souveraineté technique couche par couche est hors d'atteinte. La souveraineté décisionnelle est à construire. La gouvernance de la dépendance, c'est rendre chaque choix réversible et chaque engagement traçable — pas éliminer la dépendance. — Doctrine VEIA.AI »
Le Shadow IA dans les bureaux d'études
La donnée la plus sous-estimée du secteur : 78 % des utilisateurs d'IA en entreprise utilisent leurs propres outils non validés, selon le Microsoft & LinkedIn Work Trend Index 2024 portant sur 31 000 répondants dans 31 pays. Dans les bureaux d'études automobile — où les ingénieurs travaillent sous pression de délais et d'objectifs de performance —, cette dynamique prend une forme concrète. Des extraits de code embarqué, des paramètres de simulation, des schémas d'architecture de composants, des données de qualité issues des lignes de production transitent vers des comptes personnels ChatGPT, Gemini ou Copilot, sans politique interne ni cadre contractuel.
Le cas de référence reste Samsung Semiconductor en 2023 : trois incidents distincts en vingt jours, dont la transmission d'un code source de base de données semi-conducteurs et la transcription d'une réunion interne confidentielle vers les serveurs d'OpenAI. Le résultat : bannissement immédiat de ChatGPT à l'échelle mondiale de l'entreprise et développement d'une IA interne avec contraintes strictes. Aucun incident documenté de cette ampleur n'est identifié publiquement dans l'industrie automobile française — ce qui reflète très probablement l'absence de systèmes de détection, pas l'absence d'incidents.
Dans le contexte automobile, l'exposition est d'autant plus critique que les données concernées sont couvertes par des NDA avec les constructeurs donneurs d'ordre. La divulgation involontaire à un fournisseur LLM tiers constitue une violation contractuelle potentielle, indépendamment de tout dommage démontrable.
Ce que la gouvernance doit couvrir
Quatre périmètres définissent le périmètre d'une gouvernance IA opérationnelle pour un constructeur ou équipementier. Le premier est l'inventaire des systèmes IA : quels outils sont actifs, sur quelles données, sous quels contrats, avec quelles clauses de sous-traitance vers des modèles fondationnels tiers. La plupart des COMEX ne disposent pas de cette cartographie.
Le deuxième est la définition des données interdites de transmission externe : recettes de matériaux, paramètres de ligne confidentiels, données de qualité couvertes par NDA, code embarqué propriétaire, données de conduite identifiables. Cette liste doit être formalisée, opposable et connue des équipes R&D.
Le troisième périmètre couvre les conditions contractuelles avec les éditeurs PLM. Les clauses d'utilisation des données pour l'entraînement des modèles, les engagements sur la non-réutilisation des outputs générés par IA, les droits de propriété intellectuelle sur les conceptions assistées — ces points sont négociés en bilatéral et rarement audités. Ils engagent pourtant des actifs stratégiques sur des horizons longs.
Le quatrième est la doctrine interne opposable. Un cadre d'arbitrage partagé par le COMEX, les directions R&D et les équipes industrielles, documenté, versé aux instances de gouvernance, et opposable en cas d'audit réglementaire ou de litige. L'IA Act impose cette traçabilité pour les systèmes haut risque. La prudence des directions l'impose pour tous les autres.
