IA en entreprise : l'adoption explose, la gouvernance reste le vrai chantier
Selon l'enquête McKinsey State of AI 2025, 88 % des organisations dans le monde utilisent désormais l'intelligence artificielle dans au moins une fonction, et 72 % recourent spécifiquement à l'IA générative. En France, l'adoption progresse plus lentement mais s'accélère nettement : de quoi transformer un sujet de mode en vrai chantier de gouvernance pour les directions.
Ce que révèlent les derniers chiffres
D'après l'INSEE, seules 10 % des entreprises françaises de plus de dix salariés déclaraient utiliser au moins une technologie d'IA en 2024, contre 6 % un an plus tôt — un niveau encore inférieur à la moyenne européenne. Le retard se resserre toutefois côté PME : le baromètre France Num 2025 recense 34 % de PME utilisatrices d'IA, et l'usage a doublé en un an chez les TPE/PME (26 % contre 13 %), porté par la démocratisation des outils génératifs grand public.
Le baromètre IA & ROI, qui a analysé plus de 200 projets en France, rapporte un retour sur investissement médian de l'ordre de 159 % sur 24 mois pour les PME, avec un seuil de rentabilité atteint en moins de sept mois en moyenne. Une étude WEnvision/Google va dans le même sens : 74 % des entreprises ayant déployé de l'IA générative constatent un ROI positif. Mais le Global AI Jobs Barometer 2025 de PwC souligne aussi l'écart qui se creuse entre secteurs : la croissance de productivité dans les activités les plus exposées à l'IA a presque quadruplé par rapport aux secteurs peu exposés.
Pourquoi ce paradoxe doit alerter les DPO et RSSI
Le chiffre le plus révélateur n'est pas celui de l'adoption, mais celui de l'industrialisation : McKinsey estime que seules 5 à 7 % des entreprises tirent de l'IA des bénéfices financiers vraiment significatifs et généralisés, alors que 74 % rapportent un ROI positif ponctuel. L'écart s'explique par des freins classiques — données de mauvaise qualité, absence de sponsor métier, gouvernance insuffisante — mais aussi par un phénomène que Leto documente régulièrement : le shadow AI, ces usages d'outils génératifs non validés par la DSI qui exposent l'entreprise à des fuites de données et à des angles morts RGPD (traitements non inventoriés, absence d'AIPD, absence de DPA article 28).
Cette adoption spontanée par les équipes n'est pas un problème en soi : c'est un signal. Si l'entreprise ne fournit pas d'outils encadrés, les collaborateurs en trouvent d'autres — avec les risques de fuite de données confidentielles, d'hallucinations présentées comme des faits, et de non-conformité RGPD et AI Act que cela comporte. Un constat que partage la tribune « pourquoi le RSSI ne peut plus être le seul responsable du risque IA » : la gouvernance de l'IA ne peut plus reposer sur une seule fonction, elle doit être partagée entre direction métier, DPO, RSSI, RH et juristes.
Ce que ça change concrètement pour les organisations
Transformer l'IA en levier maîtrisé plutôt qu'en risque diffus suppose une démarche structurée, que Leto retrouve dans la plupart des dossiers récents sur le sujet, notamment la méthode en 4 étapes pour déployer l'IA générative en restant conforme :
Identifier un ou deux cas d'usage à valeur mesurable plutôt que de multiplier les preuves de concept dispersées ; fournir des outils encadrés pour éviter que les équipes ne se rabattent sur des solutions grand public non maîtrisées ; former les utilisateurs, qui reste le premier facteur d'impact dans les déploiements réussis ; poser une gouvernance explicite — règles d'usage, protection des données, vérification humaine des productions, conformité RGPD et AI Act ; et mesurer dès le départ pour distinguer un usage réellement utile d'un simple effet de nouveauté.
Sur le plan documentaire, cela se traduit concrètement par une charte IA qui formalise qui peut utiliser quel système, pour quels usages et avec quelles garanties, et par une vérification systématique du niveau de risque AI Act de chaque cas d'usage via le guide de conformité AI Act avant tout déploiement à l'échelle.
Ce que Leto pense de cette décision
Ces chiffres confirment ce que nous observons chez nos clients depuis plusieurs mois : le débat n'est plus « faut-il adopter l'IA », il est déjà tranché. La vraie ligne de partage se joue sur le cadrage. Une entreprise qui laisse ses équipes utiliser des assistants génératifs sans charte, sans AIPD et sans procédure de vérification humaine ne fait pas l'économie du risque — elle le rend simplement invisible jusqu'au jour où un incident le révèle. Le bon réflexe n'est pas d'interdire, ce qui est de toute façon illusoire, mais d'organiser : un ou deux cas d'usage clairs, une charte, une gouvernance partagée entre DPO, RSSI et métiers. C'est moins spectaculaire qu'un plan de transformation IA, mais c'est ce qui distingue les 5 % d'entreprises qui en tirent un bénéfice durable des 95 % qui restent au milieu du gué.
Sources : McKinsey, The State of AI 2025, Baromètre France Num 2025, PwC, Global AI Jobs Barometer 2025, Silicon.fr.

