Un directeur technique d'un grand opérateur active un module d'optimisation réseau IA fourni par son équipementier. L'algorithme prend des décisions d'allocation de bande passante en temps réel pour 8 millions d'abonnés. Le modèle est hébergé sur Azure. Le Cloud Act s'applique. Le COMEX n'a jamais posé la question de juridiction. NIS2 vient d'en faire une obligation personnelle pour le directeur général.
Le constat : IA et réseaux, une dépendance structurelle
En 2026, 66 % des opérateurs mondiaux de télécommunications utilisent des solutions d'intelligence artificielle en production. 97 % ont initié des déploiements ou des phases d'exploration avancées. Ce n'est plus une tendance : c'est l'architecture des réseaux. L'optimisation dynamique de la bande passante, la prédiction des pannes, la détection des fraudes en temps réel, la mise en veille intelligente des antennes - ces fonctions critiques sont désormais pilotées algorithmiquement.
La 5G accentue cette dépendance structurelle. Le network slicing - qui permet de créer des réseaux virtuels parallèles avec des garanties de latence spécifiques sur la même infrastructure physique - doit s'opérer en quelques millisecondes. C'est une vélocité impossible pour un opérateur humain. L'IA n'est pas un outil dans le réseau 5G : elle est sa condition de fonctionnement.
L'écart critique n'est pas dans le déploiement technique. Il est dans la gouvernance exécutive. Les COMEX ont délégué la compréhension des architectures algorithmiques aux DSI et CTO, créant une asymétrie d'information fatale face aux nouvelles exigences réglementaires. Quand un algorithme de self-healing décide de désactiver un nœud de communication pour réacheminer le trafic, il prend une décision opérationnelle autonome. Si cette décision résulte d'une calibration erronée, la responsabilité remonte directement au conseil d'administration.
NIS2 et AI Act : ce que les opérateurs essentiels doivent gouverner en 2026
NIS2 introduit pour la première fois une responsabilité personnelle et directe des organes de direction sur la cybersécurité des infrastructures critiques. Les fournisseurs de réseaux de communications électroniques publics sont soumis à cette directive quelle que soit leur taille. En France, le vote de la loi de transposition est attendu pour juillet 2026, mais la phase de pré-conformité est déjà engagée. En Suisse, l'OFCOM suit les travaux du Conseil de l'Europe sur l'IA.
L'AI Act ajoute une couche supplémentaire. Tout système IA utilisé comme composant de sécurité dans la gestion d'une infrastructure numérique critique est classifié haut risque au sens de l'Annexe III. À partir d'août 2026, cela impose : évaluation de conformité par tiers indépendants, traçabilité des décisions algorithmiques, supervision humaine effective documentée. Aucun opérateur français ou suisse n'a encore publié de cartographie d'évaluation de ses systèmes réseau au regard de ces critères.
Ce que les COMEX doivent pouvoir documenter Quels systèmes IA opèrent en mode décision autonome sur le réseau ? Quelle juridiction s'applique aux plateformes qui les hébergent ? Qui répond en cas de défaillance algorithmique d'une xApp tierce déployée sur le RAN Intelligent Controller ? La réponse "c'est notre équipementier" n'est plus recevable sous NIS2.
La souveraineté technique totale est hors d'atteinte. La souveraineté décisionnelle est à construire. Ce n'est pas la même question, et elle appartient au board. — Doctrine VEIA.AI · Gouverner la dépendance
La question Huawei comme cas d'école de la gouvernance des dépendances
Le 23 juillet 2025, le réseau national de POST Luxembourg a subi un effondrement systémique paralysant les communications fixes, mobiles et les numéros d'urgence sur l'ensemble du territoire pendant plus de trois heures. La cause n'était pas une cyberattaque. Elle a été formellement identifiée comme l'exploitation d'une faille zero-day dans le logiciel des routeurs Huawei. Un trafic réseau corrompu a déclenché un comportement non documenté, provoquant une boucle de redémarrage infini. Huawei a déclaré n'avoir jamais observé ce mode de défaillance sur son parc mondial. Dix mois après les faits, aucune alerte CVE publique n'avait été émise.
Cet incident est le premier cas documenté en Europe où l'opacité algorithmique d'un fournisseur a provoqué une défaillance nationale. Sous NIS2 et l'AI Act, la direction de tout opérateur subissant un sort similaire serait sommée de justifier ses audits de sécurité et sa compréhension de l'algorithmique de ses fournisseurs. La délégation sur l'équipementier n'est plus une défense recevable.
En France, SFR et Bouygues Telecom maintiennent des milliers d'équipements Huawei avec des autorisations prolongées jusqu'en 2032. La contrainte financière du démantèlement est réelle. Mais la question que le board doit poser n'est pas seulement budgétaire : c'est une question de gouvernance de la dépendance avant qu'elle devienne irréversible. L'Union Européenne prépare une législation qui transformerait les recommandations d'exclusion du matériel chinois en obligations légales impératives.
La question Huawei est le cas d'école le plus documenté de ce que signifie concrètement gouverner une dépendance technologique sous contrainte géopolitique. Elle s'applique aussi, avec des mécanismes différents, à la dépendance aux hyperscalers américains pour les systèmes IA réseau.
Ce que la gouvernance doit couvrir
La gouvernance IA d'un opérateur télécom porte sur quatre dimensions simultanées. D'abord, la qualification des systèmes en production : distinguer ce qui opère en mode observation, en mode recommandation à humain, et en mode décision autonome. Ensuite, la cartographie des juridictions réelles : pas la localisation physique des serveurs, mais la juridiction des entités qui en ont le contrôle. Le Cloud Act s'applique à AWS même si les serveurs sont à Paris.
Troisièmement, la maîtrise de la shadow IA interne. Un opérateur utilise en moyenne 66 applications d'IA générative non validées dans l'ombre du service informatique officiel. 14 % de l'ensemble des incidents de fuite de données en entreprise proviennent désormais des outils IA non audités. Un ingénieur réseau qui soumet du code propriétaire à un LLM public pour accélérer son travail expose potentiellement des clés d'infrastructure critiques. Enfin, les plans de réversibilité : avant la signature de tout contrat avec un OSS/BSS ou un équipementier, le COMEX doit exiger la présentation d'une exit strategy documentée.
Le conseil habituel pose ces questions séparément - conformité RGPD d'un côté, architecture réseau de l'autre, AI Act comme sujet juridique isolé. Ce que les COMEX télécoms ont besoin d'entendre, c'est l'articulation entre ces dimensions. La gouvernance de l'IA dans les télécoms n'est pas un projet de conformité. C'est un exercice de souveraineté décisionnelle.
Passer à l'action
Cartographier les dépendances de votre stack IA réseau, qualifier vos systèmes au regard de l'AI Act, construire un plan de gouvernance board-ready.
À lire également
