Référentiel ouvert
Les 12 contrôles de l'IA en production gouvernée
En 2026, le goulot d'étranglement de l'IA en entreprise n'est plus l'adoption : c'est la tenue en production. Gartner prévoit que plus de 40 % des projets d'IA agentique seront annulés d'ici fin 2027, et qu'une gouvernance uniforme appliquée à l'identique à tous les agents est en soi un mode d'échec. Le terrain le confirme : au-delà de quelques dizaines de cas d'usage en production, la gouvernance sous tableur casse.
Ce référentiel énonce les 12 contrôles, répartis sur quatre piliers, qui décident de la survie d'un workflow IA face aux changements de modèles, aux incidents et aux arbitrages budgétaires. Il est publié en accès libre : utilisez-le pour auditer n'importe quel workflow IA en production en une heure environ, avec ou sans TokenShift.
Propriété & responsabilité
L'IA en production échoue d'abord comme problème de responsabilité. Ces trois contrôles établissent qui répond du workflow, avant que quoi que ce soit ne tourne.
Un propriétaire de production nommé
Une personne nommée possède le workflow en production, avec le pouvoir de l'arrêter seule, sur des critères définis.
Le test
Qui peut arrêter ce workflow aujourd'hui, de sa propre autorité, et sur quels critères ?
Échoue quand
La propriété appartient à un comité, ou reste à l'équipe data science qui a construit le pilote.
Une chaîne de sponsoring exécutif
La valeur et le risque du workflow remontent au comité exécutif à cadence fixe, portés par un sponsor nommé.
Le test
Quand le comité exécutif a-t-il vu pour la dernière fois les chiffres de ce workflow, valeur et incidents ensemble ?
Échoue quand
Le reporting s'arrête au lab innovation, et la direction découvre le workflow à l'occasion d'un incident.
Une matrice de décision IA/humain
Un document explicite établit quelles décisions l'IA propose, prépare ou prend, et lesquelles restent humaines, quelles que soient les capacités du modèle.
Le test
Montrez la décision que ce système n'a pas le droit de prendre, et où c'est écrit.
Échoue quand
L'autonomie grandit silencieusement à chaque montée de version du modèle, parce qu'aucun document ne dit où elle s'arrête.
Workflow & exécution
Ce n'est pas un modèle qui passe en production, c'est un workflow. Ces contrôles vérifient que le workflow a réellement été repensé pour tenir la charge.
Un workflow cible repensé
Le workflow de production est redessiné autour de l'IA — passages de relais, points de revue, escalades — et non l'ancien workflow avec de l'IA posée dessus.
Le test
Quelle étape de l'ancien workflow a disparu ? Si aucune, rien n'a été repensé.
Échoue quand
La sortie de l'IA atterrit dans la même file qu'avant et crée une pile de revue qui efface le gain de productivité.
Des points de contrôle humains par niveau de risque
Les seuils d'intervention humaine sont fixés par niveau de risque de la tâche, pas uniformément. Certaines sorties partent sans revue, par conception ; d'autres jamais.
Le test
Quelles sorties partent sans revue humaine, et qu'est-ce qui rend cela sûr ?
Échoue quand
Une seule règle s'applique partout : revue à 100 % (du théâtre de production) ou à 0 % (une autonomie non maîtrisée). La gouvernance uniforme des agents est un mode d'échec documenté.
Un plan de bascule de modèle
Une procédure documentée couvre le changement, la dégradation, la panne ou l'arrêt du modèle, avec des alternatives testées pour les étapes critiques du workflow.
Le test
Votre fournisseur retire ce modèle dans 90 jours. Que se passe-t-il demain matin ?
Échoue quand
Les prompts, les évaluations et les intégrations sont soudés au modèle d'un seul fournisseur, et chaque mise à jour devient une migration subie.
Garde-fous & risque
Les garde-fous ne gouvernent que s'ils existent comme artefacts : versionnés, revus, et reliés à ce qui se passe réellement en production.
Une bibliothèque de garde-fous versionnée
Règles d'entrée, règles de sortie, périmètre d'accès et comportements de refus existent comme artefact versionné : v1 avant la mise en service, avec un historique de modifications.
Le test
Montrez le fichier de garde-fous et ses trois dernières modifications.
Échoue quand
Les garde-fous vivent dans les têtes, ou uniquement dans un prompt que chacun peut modifier sans revue.
Une boucle de revue des exceptions
Chaque dépassement de garde-fou est tracé, revu et classé. Les exceptions récurrentes modifient le garde-fou ou le workflow, de façon visible.
Le test
Combien d'exceptions le mois dernier, et qu'est-ce que cela a changé ?
Échoue quand
Les exceptions sont relancées en silence ou absorbées par les opérateurs, et le garde-fou se dégrade en décoration.
Un registre des modèles et fournisseurs
Un inventaire des modèles, versions, dépendances, conditions contractuelles et conditions de sortie, pour chaque modèle que le workflow touche.
Le test
Quelles versions de modèles tournent en production en ce moment, sous quel contrat ?
Échoue quand
Personne ne peut répondre sans interroger le fournisseur ; c'est donc lui qui tient votre registre.
Valeur & rythme de gouvernance
Ce qui n'est pas mesuré avant la mise en service ne peut pas être prouvé après. Ces contrôles gardent la valeur, le risque et la sortie honnêtes.
Une métrique métier avant/après
La métrique métier que le workflow doit faire bouger est définie et mesurée avant la mise en service. Toute revendication de valeur s'y rattache.
Le test
Quel était le chiffre avant ? Qui l'a mesuré, et quand ?
Échoue quand
La valeur est affirmée par des statistiques d'usage. L'adoption n'est pas l'impact.
Un rythme de gouvernance mensuel
Une revue mensuelle fixe tient la ligne : valeur, adoption, exceptions, changements de modèles et de fournisseurs, et la décision sur le prochain workflow.
Le test
Montrez le compte rendu du mois dernier et les décisions prises.
Échoue quand
La gouvernance prend la forme d'un audit annuel ou d'une réponse à incident : toujours après coup.
Des critères d'arrêt et de rétrogradation
Les conditions dans lesquelles le workflow est rétrogradé, suspendu ou décommissionné sont convenues avant la mise en service, et le propriétaire a le pouvoir de les appliquer.
Le test
Quel résultat, sur quelle période, déclenche un arrêt ? Qui l'a signé ?
Échoue quand
Ce sont les coûts engagés qui décident, ou un incident. Les analystes prévoient qu'une large part des déploiements d'agents sera rétrogradée après des incidents de production révélant exactement cette lacune.
Comment utiliser ce référentiel
Prenez un workflow en production, pas le portefeuille. Notez chaque contrôle comme présent, partiel ou absent, en posant la question du test telle qu'elle est écrite. L'audit prend une heure environ, avec le propriétaire du workflow et un opérateur.
Trois contrôles manquent dans la quasi-totalité des déploiements que nous observons : la matrice de décision IA/humain (3), le plan de bascule de modèle (6) et les critères d'arrêt (12). Commencez par là.
Le référentiel correspond au chemin de délivraison TokenShift : Decision Clarity installe les contrôles 1-3 et 10, un Production Sprint installe les contrôles 4-9, et le Governance Retainer fait vivre les contrôles 11-12. Mais les contrôles se suffisent à eux-mêmes : ils décrivent ce que signifie une production gouvernée, pas ce que TokenShift vend.
Vous voulez que l'audit soit mené pour vous ?
Decision Clarity applique ces contrôles à un workflow prioritaire et rend une décision prête pour comité exécutif en 4 à 6 semaines.
Réserver une session