Un consultant senior d'une ESN mid-tier prépare un livrable de transformation IA pour un client industriel. Il charge les données d'architecture SI du client dans Copilot 365 pour structurer sa recommandation. Ces données — dont l'accès lui a été confié sous clause de confidentialité — transitent vers les serveurs Microsoft. Le cabinet facture ce projet en tant qu'expert en gouvernance IA. Personne au comité de direction n'a posé la question.
Le paradoxe structurel des ESN mid-tier
En 2025-2026, les ESN et cabinets de conseil mid-tier en France et en Suisse ont intégré l'IA générative dans leurs processus internes à une vitesse sans précédent. Sia Partners a déployé SiaGPT, une plateforme multi-LLM avec capacités agentiques, pour accélérer les réponses aux appels d'offres et l'analyse documentaire. Wavestone déploie Microsoft 365 Copilot en interne et s'en sert pour légitimer son accompagnement Copilot auprès de ses clients. Sopra Steria revendique plus de 4 000 spécialistes IA et une utilisation simultanée des écosystèmes Microsoft, AWS et Google Cloud. Devoteam a déployé 4 000 licences Gemini Enterprise pour ses propres collaborateurs.
Ces usages sont assumés, documentés, mis en avant dans les communications institutionnelles. Ce que ces mêmes acteurs documentent rarement, c'est le cadre qui gouverne cet usage en interne — les politiques d'usage des LLM sur les données clients, les audits des flux de données, les chartes opposables. L'adoption a précédé la gouvernance. Dans l'immense majorité des cabinets mid-tier, c'est structurel : l'usage s'est répandu par capillarité, porté par les consultants eux-mêmes, avant que les directions juridiques ou les DSI n'aient eu le temps de poser un cadre.
Et ces organisations conseillent leurs clients sur exactement ce sujet.
Partenariats éditeurs et neutralité du conseil : ce que les clients commencent à demander
Le second angle est plus discret mais tout aussi structurant. Les ESN mid-tier ont fondé leur rentabilité sur leur intégration aux écosystèmes des hyperscalers. Certains affichent des objectifs de chiffre d'affaires partenariaux sur plusieurs milliards de dollars sur cinq ans avec un seul éditeur. D'autres ont fait d'un hyperscaler leur "seul partenaire Premier Global Alliance". Ces partenariats génèrent des certifications, des marges arrières, des fonds de co-marketing, des accès privilégiés — et orientent naturellement les recommandations stratégiques.
Lorsqu'un cabinet certifié "partenaire Gold" ou "Elite" chez un éditeur est mandaté par un COMEX pour définir sa stratégie IA, la recommandation finale porte la trace de cette relation. Ce n'est pas une question de mauvaise foi — c'est une question de structure économique. Dans son Document d'Enregistrement Universel 2025, Sopra Steria intègre la notion de "conflit d'intérêts potentiel" dans sa section gouvernance d'entreprise. Le risque est donc reconnu par les entreprises elles-mêmes — sans être encore explicitement adressé dans le processus de conseil.
La Charte déontologique de Syntec Conseil, publiée en décembre 2024, marque une prise de conscience sectorielle. Elle impose des engagements sur la supervision humaine, la suppression des données clients en fin de mission, l'interdiction des IA non validées. Elle n'impose pas la divulgation systématique des partenariats commerciaux de l'ESN avec les éditeurs qu'elle recommande. Les clients grands comptes, eux, commencent à poser la question directement.
La souveraineté technique est hors d'atteinte. La souveraineté décisionnelle est à construire — par la direction, pas par l'éditeur partenaire. Doctrine VEIA.AI
Shadow IA sur les missions de conseil
Le risque le plus immédiat est ailleurs. Près de trois consultants sur quatre reconnaissent avoir utilisé un outil IA non approuvé dans un cadre professionnel. Les projections indiquent que 27 % des usages professionnels de l'IA en 2026 sont totalement non encadrés. L'audit d'un cabinet parisien de taille moyenne a révélé 14 usages distincts de Shadow IA impliquant le traitement de données clients — là où la direction en estimait "quelques-uns". Plus d'un quart des données saisies dans des outils d'IA publics par les employés contiennent des informations sensibles.
Pour une ESN dont le cœur de métier est précisément la manipulation de données stratégiques de tiers — architectures SI, roadmaps M&A, données financières non publiées, code propriétaire — ce chiffre n'est pas un risque théorique. C'est une exposition mesurable, qui engage la responsabilité contractuelle du cabinet envers ses clients en cas de fuite.
S'y ajoute la question du Cloud Act. L'ensemble de la stack IA dominante des ESN mid-tier — Microsoft 365 Copilot, GitHub Copilot, plateformes AWS et Google Cloud — est sous juridiction américaine. La déclaration publique de Microsoft France au Sénat en juin 2025 a confirmé sans détour que les données peuvent être remises aux autorités américaines sur contrainte judiciaire, quelle que soit la localisation géographique des serveurs. Pour un cabinet traitant des données stratégiques de clients CAC 40, c'est une faille structurelle.
Ce que la gouvernance interne doit couvrir
Les directions générales d'ESN et de cabinets de conseil qui posent sérieusement cette question font face à quatre chantiers distincts. D'abord, l'audit réel des usages IA dans les équipes — pas l'estimation, la cartographie des flux réels de données vers les API externes. Ensuite, une politique d'usage des LLM sur les données clients qui soit opposable contractuellement, pas seulement déclarative. Puis, une évaluation de la dette de réversibilité technologique — ce que représente concrètement la sortie d'un partenaire IA principal en termes de coût de migration, de reconversion des équipes, de reconstruction des outils internes. Enfin, la mise en conformité effective avec le statut de déployeur au sens de l'AI Act, qui implique supervision humaine documentée, conservation des logs, analyse d'impact.
Aucun de ces quatre chantiers ne peut être adressé de manière crédible par un acteur qui a lui-même un intérêt commercial à l'issue. C'est la condition de base du conseil stratégique indépendant sur ce sujet.
Vous pilotez une ESN ou un cabinet de conseil mid-tier. La question de la gouvernance IA interne devient un sujet de crédibilité commerciale vis-à-vis de vos clients.
Articles et ressources liés
- Reprendre la main sur le Shadow IA — VEIA.AI
- Doctrine VEIA : gouverner la dépendance
- Diagnostic de gouvernance IA — format d'entrée
- Banque et assurance : gouvernance IA
- Avocats : IA, secret professionnel et gouvernance
