L'entreprise 5.0 : impact de l'IA sur les entreprises

C. FAVORISER L'APPROPRIATION DE L'IA PAR LES ENTREPRISES

1. Garantir un fonctionnement concurrentiel de l'IA

Le sommet pour l'action sur l'IA de février 2025 a démontré que le maintien d'une saine concurrence d'une part, et l'adoption d'une IA de confiance pour les usagers d'autre part, sont nécessaires à la compétitivité de notre économie et porteurs de bénéfices pour nos concitoyens.

Le droit de la concurrence demeure central pour prévenir la domination d'un oligopole en matière d'IA.

Dans un avis 24-A-08 du 28 juin 2024, l'Autorité de la concurrence (ADLC) a émis des recommandations pour garantir un l'accès équitable aux capacités de calcul, pour un marché des données équilibré et pour une transparence accrue. L'objectif est de « faire de l'I.A. une « place publique » ouverte, et non un « jardin clos » réservé à quelques acteurs hégémoniques »^298(*), le secteur de l'I.A. générative étant caractérisé par des barrières à l'entrée particulièrement élevées, ce qui favorise la concentration autour d'acteurs déjà établis.

Face à un secteur aussi innovant que l'IA générative, la flexibilité du droit de la concurrence lui permet d'appréhender efficacement les risques émergents, même en cas de collusion entre grands modèles de langage qui serait produite par les modèles eux-mêmes^299(*). L'ADLC souligne la nécessité, d'une part, de bien coordonner les mesures nationales avec le cadre européen pour ne pas pénaliser les acteurs français et, d'autre part, de définir le bon équilibre entre la régulation ex ante et l'intervention ex post du droit de la concurrence. La régulation préventive doit fixer des règles générales claires, et le droit de la concurrence doit conserver sa souplesse pour traiter des cas spécifiques et des pratiques innovantes non anticipées par le législateur, ce qui caractériser l'utilisation de l'IA.

L'IA générative fait partie des priorités de l'ADLC, comme l'indique sa feuille de route 2025/2026, l'autorité restant particulièrement vigilante notamment sur les enjeux concurrentiels du secteur. Son avis sur l'IA sera prolongé par une analyse des enjeux concurrentiels de l'accès à l'énergie des acteurs dans ce secteur.

2. Aider les dirigeants d'entreprises à s'approprier l'IA

Pour l'Institut de l'entreprise^300(*), la sécurisation de l'intégration de l'IA dans les entreprises passe par une approche intégrée en cinq dimensions.

1. définir une politique de gouvernance claire de l'IA, qui implique de cartographier les systèmes d'IA utilisés dans l'entreprise (y compris les usages officieux), de définir les finalités opérationnelles autorisées, de catégoriser et protéger les données manipulées, et de rédiger une charte d'usage. Selon KPMG, 86 % des grandes organisations ont validé une telle charte, mais le taux est beaucoup plus faible dans les PME.

2. former massivement les collaborateurs. Les entreprises ayant formé leurs équipes constatent une réduction de 76 % des incidents liés à l'IA et un gain de productivité de 34 %.

3. privilégier des solutions souveraines ou hébergées en Europe, pour limiter l'exposition aux lois extraterritoriales et garantir la conformité RGPD.

4. mettre en place une supervision humaine continue avec des processus d'audit régulier, une traçabilité des décisions assistées par IA, et des mécanismes de vérification pour les contenus générés (lutte contre les « hallucinations »).

5. intégrer l'IA dans le dialogue social.

a) Bpifrance accompagne actuellement les PME à se transformer grâce à l'IA

Les dirigeants sont les moteurs de la transformation IA de leur entreprise constatait Bpifrance en juin 2025^301(*). Dans près de trois quarts des cas, ils sont à l'origine de l'adoption de l'IA par leur entreprise et la familiarité d'un dirigeant avec l'IA est fortement corrélée avec son utilisation dans l'entreprise.

Selon Anne Bouverot^302(*), « l'IA n'est pas du domaine exclusif de la DSI et doit partir des besoins internes » de l'entreprise.

À partir des accompagnements réalisés auprès d'un échantillon représentatif des 26 % de dirigeants de PME ou d'ETI « bloqués », c'est-à-dire « conscients de l'importance de l'IA, mais paralysés par un manque de compétences, de formation ou de soutien, les empêchant d'agir » identifiés dans une étude réalisée en juin 2025, Bpifrance a rédigé un livre blanc opérationnel à leur intention^303(*). 90 % des dirigeants placent l'optimisation des processus comme leur objectif prioritaire en matière d'IA, mais seuls 30 % des dirigeants accompagnés envisagent la diversification ou la transformation de leur modèle économique grâce à l'IA, « ce qui révèle que les cas d'usages ne sont pas encore tous matures et qu'il reste de nombreux champs à explorer ».

Source : Bpifrance

60 % des dirigeants de PME accompagnés par Bpifrance adoptent l'IA pour optimiser des processus existants afin d'améliorer l'efficacité opérationnelle et d'obtenir des gains de productivité à court terme.

Le principal obstacle demeure le manque d'expertise et de compétences internes, évoqué par 88 % des PME interrogées, qui rend difficile la mise en oeuvre de projets IA en interne, renforçant l'importance de l'accès à des experts qualifiés, ainsi que le manque d'évaluation de l'opportunité stratégique de l'IA.

Les solutions IA « Plug and Play », adaptées aux besoins des PME, restent encore largement immatures, mais le marché est encore trop jeune pour offrir des solutions d'IA générative clés en main adaptées aux besoins spécifiques des PME. Tandis que les géants technologiques standardisent les usages courants, les cas spécifiques, eux, restent un terrain complexe et largement inexploré, exigeant des ressources et compétences pointues.

Comme le reconnaît le ministère chargé de l'Intelligence artificielle et du numérique^304(*), le premier défi de l'incorporation de l'IA agentique par les TPE-PME est un défi de lisibilité : « Les dirigeants de TPE et PME ne savent pas toujours ce que recouvre ce terme et quels cas d'usage pourraient leur être accessibles. C'est notamment le rôle des ambassadeurs IA que de rendre concrets et tangibles les gains qu'une entreprise, même de taille modeste peut attendre du déploiement d'une solution agentique. La banque de cas d'usage résolus qui sera mise à disposition des ambassadeurs sera le vecteur privilégié pour encourager la massification de ces déploiements ». Le second défi est un défi de complexité et de maturité numérique, car l'IA agentique requiert souvent une interconnexion avec les systèmes d'information de l'entreprise et une mise en ordre de données, qui représente un coût réel pour une PME.

Si « les accompagnements approfondis qui aident les entreprises à structurer leur feuille de route et à valoriser leurs données permettront d'encourager le passage à l'action des dirigeants », ils ne concerneront que 25 entreprises en 2026...

b) Conforter les CCI dans leur mission d'accompagnement des TPE-PME dans l'appropriation de l'IA.

Si le bilan actuel de l'accompagnement par Bpifrance de l'intégration des solutions d'IA au sein des PME par le programme « Osez l'IA » est positif, ce processus se heurte toutefois à la question de l'industrialisation de cet accompagnement qui doit se déployer à l'échelle des 159 000 PME voire des 4,3 millions de TPE qui emploient actuellement 6,9 millions de salariés.

Le réseau des CCI est plus dense et paraît mieux armé, à condition de le doter des moyens financiers appropriés, pour

- identifier les cas d'usage de l'IA dans les TPE-PME, en collaboration avec les filières professionnelles et les comités stratégiques de filières ;

- élaborer des programmes de soutien et d'accompagnement les plus pertinents, car les plus proches des besoins concrets des entreprises ;

- labelliser et élaborer des listes de prestataires de confiance assurant aux chefs d'entreprise que le prestataire ou fournisseur et des éditeurs de solutions d'IA choisi a bien développé ses produits ou services de façon éthique, transparente et sûre, car les PME n'ont que rarement la surface financière suffisante pour embaucher un expert capable de déployer un système d'IA dans l'entreprise ;

- mettre en place des plateformes numériques permettant la mise en relations entre TPE-PME et fournisseurs de solutions IA.

Les TPE-PME doivent avoir un interlocuteur unique de confiance, connaissant leurs problématiques, en capacité de service de guichet unique afin d'élargir au plus vite l'adoption de l'IA.

3. Reconnaître la valeur stratégique comptable de l'IA

Les entreprises qui sauront valoriser juridiquement leur capital algorithmique disposeront d'un avantage compétitif et fiscal décisif et les États qui sauront mesurer correctement la richesse réelle des entreprises qui utilisent l'IA bénéficieront de rentrées fiscales supplémentaires.

L'IA n'est plus un simple outil technique ou un investissement immatériel secondaire, mais un actif stratégique autonome, au coeur du modèle économique de l'entreprise et une composante essentielle de son capital à l'ère numérique.

La valorisation de l'IA comme actif doit être mieux documentée, en tenant compte de son caractère évolutif et l'administration fiscale doit procéder à adaptation du droit fiscal à la réalité économique de l'IA, en se dotant d'une doctrine fiscale concertée avec les acteurs de l'IA, et opposable à l'administration fiscale.

L'aide fiscale devrait se concentrer sur les entreprises particulièrement innovantes dans l'IA.

Comme l'a souligné la commission d'enquête du Sénat sur les aides publiques, le régime de l'IP box ne concerne que les entreprises qui tirent une partie de leurs revenus des actifs de propriété industrielle, comme les brevets, les certificats d'obtention végétale, les logiciels ainsi que, sous certaines conditions, les procédés de fabrication industrielle, à la différence du CIR, qui est directement corrélé aux dépenses de R&D exposées par les entreprises concernées - sous réserve de l'éligibilité de ces dépenses à l'assiette du CIR^305(*).

Il autorise, sous conditions, de soumettre le résultat net des licences et cessions de brevets, logiciels et actifs incorporels assimilés à un taux préférentiel à l'impôt sur les sociétés de 10 % au lieu du taux classique 25 %, et peut se cumuler avec le crédit d'impôt recherche (CIR).

Profondément remanié en 2019, et désormais codifié à l'article 238 du Code général des Impôts^306(*), il a été étendu aux entreprises développant des solutions logicielles originales. Il représente un coût annuel de 1,208 milliard d'euros, soit 15 % du coût associé au CIR. Pour autant, l'IP box bénéficie à un nombre limité d'entreprises, estimé à 973 en 2024. Le niveau de concentration de cette aide fiscale est très élevé : l'aide moyenne par entreprise bénéficiaire atteint 1,2 million d'euros, contre 0,5 million d'euros pour l'aide moyenne apportée par le CIR.

L'IA devrait ainsi intégrer le régime fiscal de l'IP Box, qui est optionnel, applicable aux sociétés françaises ou aux groupes d'intégration fiscale, et permet d'appliquer un régime fiscal de faveur sur les revenus d'exploitation des actifs de propriété intellectuelle.

4. Impliquer les salariés et investir dans la formation à l'IA

a) Impliquer les salariés

(1) Un dialogue social nécessaire

L'appropriation de l'IA par les salariés nécessite de les rassurer quant à la pérennité de leur emploi qui sera transformé et non supprimé. Si les salariés considèrent l'IA comme une concurrente « mortelle », les réticences à son usage seront aggravées.

Actuellement, il est difficile de voir clairement quels motifs certains employeurs pourraient invoquer pour licencier des salariés en raison de l'IA.

(2) Un dialogue souple sur l'impact et l'utilisation de l'IA

L'inclusion du déploiement de l'IA dans le dialogue social des entreprises constitue une urgence sociale. Pour autant, il importe de ne pas le figer dans des normes trop rigides, compte tenu de la vitesse particulièrement élevée du rythme des changements technologiques.

Ainsi, pour le ministère chargé de l'Intelligence artificielle et du numérique^308(*) : « le dialogue social peut jouer un rôle décisif dans l'adoption de l'IA et dans l'accélération de la montée en compétences IA des travailleurs. L'intensification du dialogue social de branche sur l'IA peut créer une dynamique de filière, notamment dans les petites entreprises. De même, une entreprise ne réussira pas à exploiter tout le potentiel de l'IA et à en extraire toute la valeur sans embarquer son corps social : parce que la transformation IA de l'entreprise est également un sujet de conduite du changement, elle n'aboutira qu'à la faveur d'un dialogue social de qualité au sein de l'entreprise ».

Dans la prolongation du projet européen SeCoIa Deal (Servir la Confiance dans l'IA par le Dialogue)^309(*) conduit entre 2021 et 2023, une déclinaison française a regroupé, du printemps 2021 au printemps 2023, différents acteurs français et européens, autour de la CFE-CGC et l'Institut de recherches économiques et sociales (IRES).

Issu de ces travaux, le projet DIAL-IA^310(*) vise à contribuer à déployer un cadre méthodologique partagé pour faire du développement du dialogue social technologique au travail et de la déclinaison de l'accord-cadre européen de 2020 sur la numérisation du travail (volet IA) un levier opérationnel de la transformation numérique.

En effet, la « mise en oeuvre vertueuse de l'intelligence artificielle ne peut pas se faire sans les travailleurs », selon le manifeste de ce projet (« Pour un dialogue social au service des bons usages de l'IA et d'une nouvelle étape de progrès social dans les entreprises et les administrations ») qui a été signé par cinq organisations syndicales. Par ailleurs, ce projet a abouti à élaborer l'outil Dial-IA, qui offre un cadre méthodologique de dialogue social technologique déclinant aux spécificités des systèmes d'IA l'accord européen de 2020 sur la numérisation (accord-cadre européen sur la transformation numérique des entreprises conclu le 22 juin 2020).

L'IA est un sujet qui est abordé par les partenaires sociaux dans le cadre de la « Conférence Travail Emploi Retraites », lancée au Conseil économique, social et environnemental le 5 décembre 2025 et doit achever ses travaux à la fin du premier semestre 2026 et, dans la fonction publique, une négociation sociale consacrée à l'intelligence artificielle a été ouverte en avril 2026 en vue d'un accord d'ici à l'automne 2026.

L'utilisation de l'IA sur un lieu de travail pose des questions sur l'emploi, les compétences, la formation professionnelle, les conditions de travail, autant d'axes qui relèvent du dialogue social. Par ailleurs, l'IA doit s'inscrire dans un projet collectif d'entreprise et non servir uniquement à réduire les coûts, sous peine de freiner son déploiement et de susciter de fortes tensions sociales dans les entreprises.

Le Conseil économique, social et environnemental a consacré en janvier 2025 un rapport « Intelligence artificielle, travail et emploi »^311(*), qui considère que « co-construire un nouveau dialogue social est indispensable ». Pour son rapporteur, Jean-Marie Truffat, « en amont à l'introduction de l'IA dans une structure, les salariés et les organisations syndicales doivent être intégrés aux réflexions et décisions. Améliorer les process de production, accompagner les salariés ne doivent pas masquer ce qui fait le coeur de l'activité de la structure et cela nécessite le débat sur la notion même du travail »^312(*).

Cependant, si toute introduction d'un système d'IA modifiant les conditions de travail doit faire l'objet d'une consultation préalable du Comité social et économique (CSE) d'une entreprise, « nombre de syndicalistes estiment que la procédure d'information-consultation du CSE n'est pas adaptée dans le cadre de l'IA »,^313(*) car cette technologie est en constante évolution.

Selon l'Association pour l'emploi des cadres^314(*), 7 % des TPE et 7 % des PME avaient mis en place une charte ou de bonnes pratiques encadrant l'usage de l'intelligence artificielle en mars 2025 (contre respectivement 3 % et 5 % en juin 2024) et 17 % des ETI.

Le dialogue social dans l'entreprise sur l'utilisation de l'IA concerne 34,7 % des accords d'entreprise qui traitent de l'emploi. Depuis 2017, un peu moins d'un accord sur 1 000 fait référence à l'IA. Ce taux qui a été multiplié par 2,5 entre 2018 et 2023, selon une étude du CNAM publiée en octobre 2024^315(*).

Un dialogue doit s'engager entre les partenaires sociaux afin de définir un cadre adapté à la spécificité de l'IA en évolution constante. La négociation et la conclusion d'un accord national interprofessionnel afin de créer les conditions d'une intégration optimale de l'IA dans les entreprises, devrait être prolongé par l'actualisation des accords de branche. Elle risque toutefois de prendre un temps considérable et d'être dépassé à l'issue du processus de concertation.

Il serait plus efficace d'inclure l'IA dans le champ des négociations annuelles obligatoires de l'entreprise, mentionnées par l'article L. 2242-13 du code de travail, sachant qu'il peut être également inclus dans la notion « d'introduction de nouvelles technologies » pour lesquelles le CSE doit être informé et consulté, selon l'article L. 2312-8 du code du travail.

Par ailleurs, ce dialogue doit être utilisé pour encadrer et sécuriser l'utilisation de l'IA par les salariés, combinant l'analyse de l'impact de l'IA sur l'organisation de l'entreprise et les modalités de son utilisation en entreprise. Il doit également englober en priorité les questions de développement des compétences des salariés.

Les modalités de l'utilisation de l'IA par les entreprises peuvent également être précisées par des chartes d'entreprises, les fédérations professionnelles devant être chargées d'élaborer des modèles à destination des PME et TPE, adaptées aux réalités des branches professionnelles et de la taille de ces entreprises. Cette charte doit « définir explicitement les outils autorisés, les usages interdits et les procédures de validation pour les nouveaux besoins. Elle doit être rédigée dans un langage accessible à tous les collaborateurs, être évolutive et régulièrement mise à jour pour tenir compte des évolutions technologiques et réglementaires »^316(*).

Pour le ministère chargé de l'Intelligence artificielle et du numérique^317(*), « l'utilisation d'outils qui ne sont pas fournis par l'entreprise permet une acculturation des collaborateurs aux outils d'IA et peut donc avoir un effet positif tant que l'usage qui en est fait est limité à des sujets non sensibles et reste encadré par les règles édictées au sein de l'entreprise ». Une bonne approche est souvent la mise en place d'un cadre clair qui canalise les usages vers des solutions autorisées, « par exemple dans le cadre d'une charte d'utilisation de l'IA ». Cette régulation interne conduit en effet à une baisse drastique du « shadow IA » dans les entreprises.

b) Un immense besoin de formation

La France se distingue par un déficit de formation considérable : 76 % des Français déclarent n'avoir reçu aucune formation à l'IA (contre 61 % de moyenne mondiale), ce qui place la France au 40^e rang sur 47 pays, selon l'étude de l'Université de Melbourne de 2025.

Ce manque de formation est corrélé au manque de confiance dans l'IA : 79 % des répondants mondiaux sont plus enclins à faire confiance à un système d'IA lorsque celui-ci est jugé « digne de confiance », c'est-à-dire transparent, explicable et encadré.

Si la stratégie nationale pour l'intelligence artificielle, lancée en 2018, a permis à la France d'engranger des succès en termes de recherche et de formation d'excellence sur l'IA, en revanche, « l'enjeu de la massification et de l'accompagnement de la diffusion de l'IA au-delà du cercle des spécialistes [...] a jusqu'à présent trop peu retenu l'attention », selon la Cour des comptes dans un rapport publié le 19 novembre 2025.

Le constat du rapport de la Cour des comptes est sans appel : « le retard pris en matière d'adaptation à l'IA de l'ensemble des formations initiales et continues n'a pas été rattrapé, alors qu'il s'agit d'un domaine où les enjeux sont considérables et les risques élevés ».

L'ampleur du défi est considérable : la commission de l'IA de mars 2024 évaluait les besoins à 56 000 postes par an en développement d'IA et 25 000 en déploiement dans d'autres secteurs, tout en recommandant de tripler le nombre de formations spécialisées d'ici 2030.

Pour le ministère chargé de l'Intelligence artificielle et du numérique^318(*), « la massification dans un contexte de forte contrainte budgétaire doit mobiliser des leviers différents comme le réseau bénévole des ambassadeurs IA, en lien avec France Num, et ben sûr l'offre privée », sans connaître avec précision quels dispositifs seront mobilisés : « des travaux sont en cours entre le ministère du travail et les ministères économiques et financiers afin de finaliser le pilier « formation » du plan « Osez l'IA ».

Pour passer le « mur de formation », une stratégie à trois niveaux s'impose :

1. Sensibiliser massivement, en permettant à chaque actif de comprendre l'IA, ce qu'elle peut et ne peut pas faire, ses caractéristiques et son fonctionnement. L'Académie de l'IA, annoncée dans le plan « Osez l'IA » avec l'ambition de former 15 millions de professionnels d'ici 2030, doit être complétée par les dispositifs existants. Toutefois, annoncée en septembre 2025, l'Académie de l'IA n'était toujours pas opérationnelle à la date de ce rapport.

2. Renforcer l'expertise de haut niveau. Actuellement la France manque cruellement de profils spécialisés. En 2021, l'enseignement supérieur ne comptait que 16 687 places en formations IA au niveau master et doctorat. Le réseau des instituts 3IA, qui regroupe plus de 500 chercheurs et a financé près de 500 doctorants et post-doctorants, constitue un acquis à consolider. Le financement de la recherche et de l'innovation s'est considérablement renforcé sous l'impulsion de France 2030, avec 3,9 milliards d'euros atteints à fin 2025 pour le financement des projets IA, dont 2 milliards au cours des trois dernières années.

3. Face à la pénurie de compétences, trois approches complémentaires s'imposent : former massivement par le biais de formations hybrides mêlant expertise métier et 8 compétences IA ; attirer les talents internationaux en rendant les conditions de rémunération plus compétitives ; et démocratiser l'accès aux outils d'IA « no-code » permettant à des non-spécialistes de développer des solutions adaptées à leurs besoins.

À titre subsidiaire, et pour pallier à court terme le déficit de compétences, la France doit faciliter l'accueil de chercheurs et d'ingénieurs de l'IA notamment en adoptant un dispositif d'accueil dérogatoire pour les profits hautement qualifiés en IA, avec notamment un dispositif de délivrance accélérée de visas et une priorité à leur renouvellement.

Alors que les TPE et la plupart des PME n'ont pas toujours les moyens de déployer des formations en interne, CCI France préconise de pérenniser le dispositif de Financement FNE-formation afin de continuer à favoriser la montée en compétences des salariés dans le cadre de la transition numérique et de la formation à l'IA

Les formations financées devraient participer à mettre en oeuvre des projets innovants et des transformations numériques requérant une forte technicité ou un savoir-faire particulier (IA, cybersécurité ...), à favoriser l'hybridation des compétences rendue nécessaire par la digitalisation d'une partie des tâches et des activités d'un grand nombre de métiers, à permettre aux directions d'entreprises et aux salariés de département métiers ou opérationnels, notamment dans les TPE et PME, de mieux dialoguer avec les prestataires informatiques, à améliorer la résistance des entreprises aux cyberattaques et la protection des données.

Le niveau de prise en charge de l'aide dépend de la taille de l'entreprise : 70 % pour les petites entreprises et 60 % pour les moyennes entreprises, le reste étant soit à la charge de l'employeur soit pouvant être au cas par cas, financé par les OPCO afin de permettre à l'entreprise de bénéficier d'une prise en charge intégrale des coûts de formation.

Les entreprises de moins de 50 salariés peuvent solliciter des fonds mutualisés auprès de leur Opérateur de compétences (OPCO), pour financer certaines actions de formation de leur plan de développement de compétences. La formation à l'IA devrait être prioritaire.

Par ailleurs, CCI France préconise qu'un chef d'entreprise puisse imposer à un salarié d'utiliser son compte personnel de formation (CPF) pour une mise à niveau ou son reclassement, lorsque son poste est appelé à subir une modification substantielle ou à disparaître du fait de l'intégration d'outils d'IA dans l'entreprise.

Enfin, il faut permettre aux salariés de recevoir une formation aux usages de l'IA préalable à leur emploi :

- Soit en ayant recours à la préparation opérationnelle à l'emploi individuel (POE I), qui permet la mise en place d'une formation de préparation à cette prise de poste et de résorber efficacement l'écart entre les compétences du candidat retenu et les compétences requises par le poste. Elle finance en partie les frais engagés pour une formation réalisée au sein de l'entreprise (tutorat) et/ou par un organisme de formation.

Le demandeur d'emploi, indemnisé ou non, présélectionné sur l'emploi à pourvoir, peut bénéficier d'une formation adaptée dispensée par un organisme de formation d'une durée de 450 heures maximum (jusqu'à 600 heures pour les publics prioritaires), ou limitée à 300h en 100 % tutorat dans l'entreprise. L'aide au financement de la formation est versée une fois la formation réalisée. Elle s'élève jusqu'à 5 € par heure net si la formation est réalisée en entreprise. Si elle est réalisée en organisme de formation, France Travail étudie les demandes d'aide sur dossier pour une prise en charge totale ou partielle de la formation.

- Soit en utilisant une clause de dédit-formation, incluse dans le contrat de travail et qui prévoit le financement par l'employeur d'une formation à son salarié, et l'engagement, en contrepartie, du salarié de rester dans l'entreprise pendant une durée minimale. Si cet engagement n'est pas respecté, le salarié rembourse tout ou partie des frais de formation basés sur le coût réel de la formation pour l'employeur ;

- Soit enfin en créant, au bénéfice des primo-salariés, une avance sur les crédits du compte personnel de formation (CPF), qui seraient utilisés pour une formation à l'IA.

5. Protéger les données de l'entreprise

À l'échelle mondiale, le coût de la cybercriminalité est colossal et a dépassé dès 2021 les 1 000 milliards de dollars^319(*).

L'IA fragilise la cybersécurité des entreprises.

a) L'industrialisation de la cybermenace avec l'IA

Selon un rapport du Boston Consulting Group^320(*), 53 % des dirigeants d'entreprises classent les cybermenaces basées sur l'IA parmi les trois principaux risques organisationnels. Les parades tardent, car l'offensive évolue plus rapidement que la défense. L'IA agentique accélère en effet les capacités d'attaque bien plus rapidement que les organisations ne peuvent renforcer leurs défenses. Si 60 % des entreprises ont subi une cyberattaque alimentée par l'IA en 2025, seulement 7 % ont installé des outils de cyberdéfense alimentés par l'IA.

Le budget, la pénurie de talents et la maturité technologique constituent des obstacles majeurs.

Seuls 5 % des entreprises font état d'une augmentation significative du budget consacré à la cybersécurité, 69 % rencontrent des difficultés pour recruter des talents dans le domaine de la cybersécurité et seuls 25 % considèrent que leurs outils de cyberdéfense basés sur l'IA sont suffisants pour parer aux menaces, accroissant leur vulnérabilité. Par ailleurs, ce sujet demeure souvent piloté par le service technique (DSI, CISO), sans véritable pilotage du Comex ou du conseil d'administration et certaines entreprises craignent de se retrouver captives de quelques acteurs technologiques de la cybersécurité.

Cette cybercriminalité n'est pas opérée que par des individus, mais également des organisations paraétatiques avec comme finalité l'espionnage et la déstabilisation d'industries stratégiques. Cette menace est probablement la plus dangereuse et la plus insidieuse.

Les PME-PMI constituent le point d'entrée de la cybercriminalité dans les chaînes de valeurs, car selon Guillaume Poupard^321(*), « elles sont beaucoup moins structurées en termes de gouvernance numérique et elles peuvent devenir des cibles plus intéressantes, soit pour des criminels, soit pour des espions. Cette fragilité entraîne un autre cas de figure déjà observé à plusieurs reprises, celui d'attaquants s'en prenant à un grand groupe industriel en ciblant l'un de ses prestataires. C'est une sorte de raid indirect très à la mode qu'on appelle « attaque par la chaîne de valeur ». Comme la sécurité des grands groupes s'est renforcée, les pirates profitent des faiblesses des sous-traitants pour mener ces attaques indirectes et atteindre leur système d'information ».

Les attaques sur la chaîne d'approvisionnement numérique, ou digital supply chain (DSC), visent des entreprises prestataires intégrées dans un tissu numérique qui se superpose à la chaîne de production classique (fournisseurs, usines, distributeurs, vendeurs, consommateurs...). Elles entraîneraient des pertes économiques évoluées entre 50 et 70 milliards de dollars par an à l'échelle mondiale. Or, la diffusion de l'IA, par exemple dans les robots des chaînes de production industrielle, multiplie considérablement la surface des cyberattaques. Un virus sur le logiciel d'une machine peut mettre une usine à l'arrêt.

Enfin, l'open source (ou, plus précisément, les briques de code dans les librairies open source) ouvre des failles ou des portes dérobées permettant à des hackers d'avoir accès aux données circulant dans les logiciels. Les hackeurs « éthiques » réalisent volontairement des intrusions pour trouver les failles des réseaux et des infrastructures en général. Des sociétés spécialisées, comme Lupin & Holmes, startup française, proposent, pour un coût modeste, des logiciels de détection, comme Depi, qui repère les failles exploitables dans toute la supply chain logicielle en analysant les dépendances et leurs environnements sans lire le code source^322(*).

Cependant, « l'IA est agnostique en matière de cybersécurité, au sens où elle aide à la fois les attaquants et les défenseurs » selon le Conseil de l'IA et du numérique^323(*) qui appelle :

- les acteurs à ne pas céder à la panique ambiante, mais à penser les cadres de gouvernance et de sécurité de l'IA dès l'adoption des solutions. À court terme, les entreprises pourraient envisager la création d'une fonction permanente dédiée à la découverte, la qualification et la remédiation autonomes de vulnérabilités, dans le prolongement de la méthode « DevOps »^324(*) ;

- à la mise en oeuvre de référentiels généraux qui, bien que non spécifiquement pensés pour l'IA, restent totalement à propos, à l'image de celui associé à la directive européenne NIS2 ;

- à la structuration accélérée d'un écosystème public-privé européen d'évaluation des modèles d'IA autour de l'Institut national pour l'évaluation et la sécurité de l'IA (INESIA) et de laboratoires IA de pointe en Europe.

b) Le risque de fuites données des entreprises

L'autre menace qui inquiète particulièrement les entreprises est le « shadow IA » de leurs salariés.

Cette utilisation par les collaborateurs d'une entreprise d'outils, de modèles ou de plateformes d'IA sans l'approbation officielle ni la supervision de la Direction des Systèmes d'Information (DSI) croît plus rapidement que la formation des dirigeants d'entreprise à l'IA.

Cette pratique concernerait plus d'un salarié sur deux selon une étude récente^325(*). 86 % des salariés utilisent désormais des outils d'IA au moins une fois par semaine pour des tâches liées à leur travail dont 34 % des versions gratuites d'outils d'IA approuvés par leur entreprise.

Parmi les 49 % de salariés qui utilisent des outils d'IA non approuvés par leur employeur, 58 % s'appuient sur des versions gratuites, lesquelles manquent souvent de sécurité, de gouvernance des données et de protections de la vie privée de niveau professionnel.

Des données sensibles de l'entreprise sont partagées sur des outils d'IA non autorisés : un tiers (33 %) des employés ont partagé des recherches ou des ensembles de données, plus d'un quart (27 %) ont partagé des données sur les employés telles que les noms du personnel, les salaires ou les informations sur les performances, et 23 % ont partagé des états financiers ou des données sur les ventes.

La pression sur la productivité pousse les cadres supérieurs à contourner les mesures de sécurité liées à l'IA, augmentant ainsi le risque de fuite de données.

L'étude suggère une acceptation générale du risque parmi les employés, 63 % des personnes interrogées estimant qu'il est acceptable d'utiliser des outils d'IA sans supervision informatique si aucune option approuvée par l'entreprise n'est fournie. L'idée selon laquelle « la rapidité prime sur la sécurité » est renforcée par le fait que 60 % des personnes interrogées estiment que l'utilisation d'outils d'IA non autorisés vaut la peine de prendre des risques en matière de sécurité si cela leur permet de travailler plus rapidement ou de respecter les délais. En outre, 21 % pensent que leur employeur « fermerait les yeux » sur l'utilisation d'outils d'IA non approuvés tant que le travail est effectué dans les délais. En effet, les cadres supérieurs sont plus enclins à accepter les risques : 69 % des présidents ou directeurs généraux estiment que la rapidité prime sur la confidentialité ou la sécurité. En revanche, seuls 37 % des personnes occupant des postes administratifs et 38 % des cadres juniors partagent cet avis.

L'intégration de l'IA au monde du travail s'effectue au détriment de la sécurité et de la confidentialité des ensembles de données sur lesquels ces modèles d'IA sont entraînés.

c) La dépendance étrangère des données

Aujourd'hui, près de 70 % des données des entreprises françaises sont hébergées sur des infrastructures de cloud américaines.

Cette dépendance pose plusieurs problèmes.

D'abord, les entreprises perdent leur liberté de choix (le vendor lock-in) de leur fournisseur envers lequel elles ont une dépendance technologique forte, qui rend les migrations vers d'autres solutions longues, coûteuses et parfois techniquement complexes.

Ensuite, la confidentialité des données des entreprises est fragilisée, en particulier dans les secteurs régulés comme la banque, la santé, l'énergie ou la défense. Or, dans ces domaines, la moindre fuite ou indisponibilité de données peut avoir des conséquences critiques.

Enfin, cette dépendance limite la capacité d'innovation et de négociation des entreprises, qui doivent s'aligner sur les conditions techniques, contractuelles et économiques imposées par les acteurs dominants.

La souveraineté numérique n'est plus un sujet réservé aux États ou aux grandes institutions, mais constitue désormais pour les entreprises françaises une condition de leur résilience, conformité et compétitivité.

La vulnérabilité des entreprises à l'égard des fournisseurs de services numériques est difficile à évaluer, d'autant plus que les flux transitent par l'Irlande qui est le siège fiscal européen des hyperscalers américains^326(*).

Pour Henri d'Agrain, directeur général du Cigref (acronyme désignant le Club informatique des grandes entreprises françaises)^327(*), citant l'étude conduite par Astarès en avril 2025^328(*), « l'Union européenne a dépensé dans le cloud et le logiciel 330 milliards d'euros auprès des entreprises américaines (à comparer aux 360 milliards d'euros dépensés pour l'achat de pétrole et de gaz), représentant 83 % des achats européens, lesquels génèrent 2 millions d'emplois aux États-Unis. Les tarifs augmentent de 10 % l'an soit un doublement en dix ans », ce gain représentant 450 milliards de dollars pour les États-Unis et réduisant leur déficit coûtant de plus du tiers.

Sur les services cloud-logiciels américains vendus à des entreprises européennes, 80 % de la valeur ajoutée est réalisée aux États-Unis, soit environ 43 milliards d'euros de valeur créée aux États-Unis en ce qui concerne les dépenses des entreprises françaises et environ 260 milliards d'euros en ce qui concerne les entreprises européennes.

Si 15 % des achats de cloud-logiciel des entreprises européennes adressés à des entreprises américaines étaient réorientés vers une production européenne à l'horizon 2035, il pourrait en résulter une amélioration du solde du compte courant de l'Union européenne de 100 milliards d'euros dans dix ans, créant 463 000 emplois à cette échéance.

Cette dépendance économique accroît la vulnérabilité géopolitique de l'Europe :

« Tant que la stabilité du cadre de protection des données entre l'UE et les États-Unis reste incertaine, les entreprises européennes qui font appel à des fournisseurs américains de services de cloud pour stocker ou traiter les données de clients européens n'ont pas de garantie de conformité RGPD et s'exposent à des risques juridiques et financiers. Si les États-Unis ne se conformaient plus aux règles européennes sur le traitement des données, la sécurité des transferts de données ne serait plus assurée. Outre le risque de surveillance ou de transfert de l'accès à des données personnelles et commerciales européennes collectées par les grands fournisseurs américains de cloud, des mesures coercitives interdisant l'accès à ces données n'est pas à exclure. Les entreprises américaines disposant de centres de données dans l'UE pourraient encore assurer leur conformité aux règles européennes. Mais il est urgent de diversifier les capacités de stockage dans les cloud existants. Le verrouillage des fournisseurs rend le passage à d'autres fournisseurs coûteux et complexe, mais comme pour d'autres services numériques ou financiers, le plus grand défi reste de trouver des substituts fiables. Bien qu'il existe des alternatives de cloud européens, selon l'estimation du cabinet Asterès, 80 % des dépenses des entreprises européennes en logiciels et en stockages en cloud vont à des sociétés américaines ; ce qui limite le développement d'alternatives européennes. En outre, l'UE ne dispose guère de substitut européen pour certains logiciels ou systèmes de paiement numérique (Visa, Mastercard, American Express, PayPal, ApplePay), ainsi que pour les cryptomonnaies, qui sont principalement américaines », selon Mme Elvire Fabry, de l'Institut Jacques Delors^329(*).

C'est la raison pour laquelle, selon Ishan Bhojwani, chef du département intelligence artificielle dans l'État et du pôle accompagnement IA^330(*), si la France et l'Europe « cherchent à sortir des dépendances du numérique, ils cherchent à ne pas y entrer avec l'IA ».

* ²⁹⁸ « I.A. générative : problématiques concurrentielles à l'aune de l'avis de l'Autorité de la concurrence », Archives de philosophie du droit 2026/1 Tome 66, pages 109 à 120, Yann Guthmann

11 février 2026.

* ²⁹⁹ Hypothèse soulevée dès l'étude conjointe de l'ADLC et du Bundeskartellamt, « Algorithmes et Concurrence », 6 novembre 2019. Selon l'article précité : « Étant donné que la majorité des modèles de langage actuels utilisent le même algorithme d'apprentissage profond, plusieurs situations pourraient entraîner des risques concurrentiels : des algorithmes d'I.A. générative peuvent soutenir des pratiques anticoncurrentielles préexistantes, la collusion peut être basée sur un algorithme via un tiers, ou des algorithmes d'apprentissage automatique peuvent converger vers un équilibre collusif de manière autonome ».

* ³⁰⁰ Audition du 4 février 2026.

* ³⁰¹  « L'IA dans les PME et ETI françaises, une révolution tranquille ».

* ³⁰² Audition du 27 janvier 2026

* ³⁰³ «  L'intelligence artificielle, une révolution technologique pour les PME », Livre blanc de Bpifrance, novembre 2025.

* ³⁰⁴ Réponse au questionnaire, 28 avril 2026.

* ³⁰⁵ « Transparence et évaluation des aides publiques aux entreprises : une attente démocratique, un gage d'efficacité économique », rapport de la commission d'enquête sur l'utilisation des aides publiques

aux grandes entreprises et à leurs sous-traitants, n° 808 (2024-2025), du 1er juillet 2025.

* ³⁰⁶ https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000047019270/2023-01-01/

* ³⁰⁷ « Par quels outils une entreprise pourrait-elle licencier des salariés au nom de l'IA ? », Jean-Emmanuel Ray Professeur émérite à l'école de droit de Paris-I-Panthéon-Sorbonne, Le Monde, 13 janvier 2026.

* ³⁰⁸ Réponse au questionnaire du 28 avril 2026.

* ³⁰⁹ Voir : https://ires.fr/projets/secoia-deal-servir-la-confiance-dans-lia-par-le-dialogue/

* ³¹⁰ Voir : https://ires.fr/projets/dialoguer-sur-lia-dial-ia/

* ³¹¹  https://www.lecese.fr/sites/default/files/pdf/Avis/2025/2025_01_IA_travail_emploi.pdf

* ³¹² Audition du 4 février 2026.

* ³¹³ « Comment les syndicats ébauchent l'encadrement de l'usage de l'IA », Marjorie Cessac, Le Monde, 18 février 2026.

* ³¹⁴ « Les cadres et l'IA- Entreprises et cadres perçoivent de plus en plus l'IA comme une opportunité », juin 2025.

* ³¹⁵ « L'IA dans les entreprises que révèlent les accords négociés ? », Nathalie Greenan Cnam, Lirsa et CEET, CNRS, TEPP, Silvia Napolitano Esiee Paris-UGE, Cnam, CEET, Érudite, Justin Pillosio Cnam, CEET, octobre 2024.

* ³¹⁶ « Shadow AI en entreprise : risques, conséquences et stratégies de maîtrise », Daria Viktorova, Village de la Justice, 22 août 2025.

* ³¹⁷ Réponse au questionnaire, 28 avril 2026.

* ³¹⁸ Réponse au questionnaire du 28 avril 2026.

* ³¹⁹ «  Cybersécurité : les failles qui laissent l'industrie française vulnérable », Jean-Luc Gibernon, directeur cybersécurité chez Sopra Steria et administrateur du Campus Cyber et Guillaume Poupard, Polytechnique Insights, 2 mars 2023.

* ³²⁰ «  AI Is Raising the Stakes in Cybersecurity », décembre 2025. Enquête menée auprès de 500 dirigeants d'entreprises dans le monde, tous secteurs confondus.

* ³²¹ Ancien directeur de l'Agence nationale de la sécurité des systèmes d'information.

* ³²² Selon l'entreprise : « les outils classiques fonctionnent comme des douaniers. Ils inspectent l'intérieur du « colis » à la recherche de code malveillant. En 2026, cette méthode ne fonctionne plus.

Les pirates ne visent plus seulement le contenu. Ils compromettent le trajet et l'entrepôt lui-même. Ainsi, une analyse de code seule laisse passer des menaces invisibles. Avec Depi le paradigme est complètement changé. Il ne regarde pas uniquement le paquet. Il sécurise l'intégralité du pipeline de livraison. L'outil vérifie l'intégrité du transit des données, seule façon de contrer les attaques sophistiquées actuelles, avec une vision globale de la chaîne logistique », Cyber-Sécurité.fr, 2 février 2026.

* ³²³ Note précitée d'avril 2026.

* ³²⁴ Le « DevOps » consiste à favoriser la collaboration entre les membres d'une équipe travaillant ensemble pour concevoir, compiler et livrer des logiciels sécurisés en un temps record. Les pratiques DevOps permettent aux équipes de développement logiciel (Dev) et d'opérations (Ops) d'accélérer la livraison de logiciels grâce à l'automatisation, la collaboration, des commentaires rapides et des améliorations itératives.

* ³²⁵ «  Reveals Rising Shadow AI Risks » Blackfog, 26 janvier 2026. Étude menée par Sapio Research en novembre 2025, portant sur des employés au Royaume-Uni (1 000) et aux États-Unis (1 000) travaillant dans des entreprises de plus de 500 salariés.

* ³²⁶ Selon le cabinet Astarès : « la majorité des flux de services de cloud-logiciel transitent par des rapatriements de profits plutôt que par des flux commerciaux. La France a importé en 2022 pour 25,7 milliards d'euros de services informatiques, dont 2,4 milliards d'euros des États-Unis et 7,4 milliards d'euros d'Irlande. Si l'on fait l'hypothèse que les importations depuis l'Irlande sont en réalité le fait de grandes sociétés du numérique américaines qui y font comptablement transiter leurs ventes, on arrive à des importations de 9,8 milliards d'euros de services informatiques américains, soit nettement moins que les 43 milliards d'euros d'achats de services de cloud-logiciel par les entreprises françaises. Les échanges de services numériques transiteraient donc principalement par des échanges entre filiales (écart entre le lieu de facturation et d'enregistrement comptable de la production) plutôt que par des flux commerciaux ».

* ³²⁷ Audition du 6 janvier 2026.

* ³²⁸ «  La dépendance technologique aux softwares & cloud services américains : une estimation des conséquences économiques en Europe ».

* ³²⁹ «  Les dépendances excessives en matière de services : Un angle mort de la stratégie de sécurité économique de l'UE ? », Brussels Economic Security Forum, EPC, 5 juin 2025.

* ³³⁰ Audition du 14 avril 2026.