Depuis des années, une phrase clôt plus de discussions sur l'IA en entreprise que toutes les autres réunies.
« On aimerait beaucoup aller plus loin avec l'IA, mais nos données ne peuvent pas sortir de nos murs. »
Dans les secteurs réglementés, cette formule a beaucoup servi. Parfois à juste titre. Souvent par confort.
Elle ramassait en un seul haussement d'épaules institutionnel toutes les préoccupations légitimes : la confidentialité, la conformité, la gouvernance, le risque réputationnel, le contrôle opérationnel. Pratique, respectable, et, jusqu'à récemment, assez difficile à contester.
Cette époque s'achève.
En l'espace d'une semaine, les trois grands laboratoires ont rendu la direction du vent terriblement claire.
OpenAI a annoncé un partenariat avec Dell pour amener Codex dans les environnements on-premise et hybrides des entreprises. Anthropic a ajouté des tunnels MCP en réseau privé et des sandboxes auto-hébergées à ses Claude Managed Agents. Et Google, à sa conférence I/O, a poussé Gemini plus loin encore dans le rôle d'un agent proactif, loin du chatbot qui attend qu'on l'interroge.
Trois entreprises différentes. Trois surfaces produit différentes. Un signal d'une netteté évidente.
Le marché passe de « l'IA, mais uniquement dans le cloud public » à « l'IA là où l'entreprise a besoin qu'elle vive ».
Cela compte, parce que la vieille objection n'a jamais vraiment porté sur l'utilité de l'IA. Elle portait sur la possibilité de l'utiliser sans contraindre l'entreprise à brader son contrôle.
Aujourd'hui, la réponse est de plus en plus oui.
L'architecture rattrape enfin l'appétit
La plupart des dirigeants de la finance, de l'assurance, du droit, de la santé ou des autres univers réglementés n'ont pas résisté à l'IA par manque d'imagination. Ils ont résisté parce que l'architecture leur semblait immature.
La promesse était immense. La réalité opérationnelle, brouillonne.
On expliquait aux équipes que les LLM allaient transformer leur productivité, et on leur demandait dans la même phrase de ne rien coller de sensible dans une fenêtre de navigateur. On sommait les cabinets d'aller plus vite avec l'IA pendant que les équipes risques fixaient une boîte noire branchée sur l'infrastructure de quelqu'un d'autre. Les équipes d'innovation présentaient des cas d'usage que les achats et la conformité enterraient dès la deuxième réunion.
Alors l'institution a fait ce que font les institutions. Elle a tout ralenti.
Ce qui a changé, ce n'est pas la demande. La demande est évidente depuis deux ans.
Ce qui a changé, c'est la stack.
Le coup d'OpenAI avec Dell vise droit le cœur de l'objection. Il dit, en substance : vous voulez des systèmes de code et des workflows agentiques à l'intérieur de votre propre infrastructure, dans votre environnement gouverné, très bien. Tenez.
Les ajouts d'Anthropic comptent pour la même raison. Les tunnels en réseau privé permettent aux agents d'atteindre les systèmes internes sans forcer les cabinets à les exposer à l'internet public. Les sandboxes auto-hébergées donnent davantage de contrôle sur le lieu d'exécution et sur ce qui entre en contact avec quoi.
Rien de cosmétique là-dedans. C'est la catégorie qui se durcit.
Et une fois la catégorie durcie, la conversation change.
Le prétexte s'affaiblit plus vite que l'organisation
C'est là que cela devient intéressant.
L'objection technologique faiblit plus vite que l'objection organisationnelle.
Cela compte, parce que beaucoup de cabinets vont découvrir que « sécurité » et « conformité » ne racontaient qu'une partie de l'histoire. L'autre partie, c'était l'inertie institutionnelle habillée d'un vocabulaire coûteux.
Quand l'outillage était immature, la prudence avait du sens.
Quand l'outillage mûrit et que la réponse reste non, la question cesse d'être « est-ce assez sûr ? » pour devenir « qu'est-ce que nous protégeons, au juste ? »
Car souvent, ce que l'on protège n'est ni le client, ni le bilan, ni la relation avec le régulateur.
C'est l'organigramme tel qu'il existe aujourd'hui.
C'est un circuit truffé de validations.
C'est une chaîne de reporting bâtie autour d'un travail manuel qui ne mérite plus d'exister.
C'est une strate intermédiaire de processus dont la valeur stratégique vacille à la seconde où un agent peut rapprocher, synthétiser, router, rédiger, relire ou faire remonter en quelques secondes.
Voilà pourquoi ce moment compte.
L'évolution de l'infrastructure retire peu à peu la raison la plus respectable de ne rien faire. Et une fois cela acquis, les dirigeants sont poussés vers une conversation bien plus honnête : non pas savoir si l'IA est autorisée, mais ce que l'IA va mettre au jour.
Pour les cabinets réglementés, c'est une bonne nouvelle à condition de bien s'en servir
Soyons clairs. Cela ne veut pas dire que chaque banque devrait lâcher des agents autonomes en production lundi matin en croisant les doigts. Ce serait stupide.
Cela signifie quelque chose de plus important.
Les cabinets réglementés peuvent désormais bâtir une vraie capacité IA dans des environnements bien plus alignés sur leur manière de penser le risque, les frontières de la donnée, la supervision et le contrôle.
Cela ouvre la porte aux cas d'usage qui ont toujours été commercialement évidents, mais techniquement inconfortables :
Des copilotes de recherche interne qui travaillent sur des bases de connaissances gouvernées
Des workflows de code et de QA dans des environnements d'entreprise maîtrisés
Des assistants de politiques et procédures reliés à la documentation interne
Des agents opérationnels qui préparent le travail pour les humains au lieu de remplacer le jugement
Des workflows de dossiers, de sinistres, de conformité, de souscription ou de reporting où la traçabilité compte autant que la vitesse
Autrement dit, le juste milieu opérationnel se construit enfin.
Des systèmes utiles, avec des garde-fous. C'est là que se trouve le vrai marché.
Les gagnants seront ceux qui ont appris plus tôt
Une vieille rêverie institutionnelle ressurgit toujours dans ces moments-là.
On se figure qu'il y aura un point d'avenir bien net où tous les fournisseurs seront matures, tous les contrôles standardisés, toutes les questions juridiques tranchées, toutes les équipes internes d'accord, et que c'est seulement alors qu'il fera sens d'agir.
Ce point n'existe pas.
Il n'a jamais existé.
Les cabinets qui remportent ces bascules sont ceux qui apprennent plus tôt que les autres. Ils forgent le muscle pendant que le reste du marché rédige encore des notes de cadrage pour savoir si la salle de sport est sûre.
Cet apprentissage se cumule.
Les premiers gains paraissent modestes : un meilleur flux de briefings internes, une relecture de documents plus rapide, une livraison de code plus serrée, des passages de relais plus propres, moins d'heures perdues en tâches administratives répétitives.
Mais ces victoires ne restent pas isolées. Elles apprennent à l'organisation à cadrer le travail, à repérer où la relecture humaine est essentielle, quels processus sont réellement cassés, quelle architecture de données fait défaut, et quelles équipes savent s'adapter.
Voilà de l'intelligence stratégique. Et elle ne vient que de la pratique.
Le temps que les retardataires se sentent enfin à l'aise, les leaders n'expérimentent plus. Ils opèrent autrement.
Ce que les dirigeants devraient faire maintenant
Si vous dirigez une entreprise réglementée, ce n'est le moment ni de paniquer ni de patienter.
Le bon mouvement, c'est l'accélération disciplinée.
Cela revient à repérer les workflows où le gain commercial saute aux yeux et où le risque peut être étroitement borné. À concevoir des usages de l'IA dans des environnements que vos équipes sécurité et conformité savent réellement soutenir. À séparer les décisions à fort jugement de la corvée à faible jugement. À bâtir une culture interne pour que les dirigeants évaluent une architecture, et pas seulement des diapositives de fournisseurs. À traiter les options privées, hybrides et on-premise comme des leviers stratégiques plutôt que comme des notes de bas de page techniques.
Surtout, cela revient à mettre au rebut le langage paresseux.
« Nos données ne peuvent pas sortir de nos murs » n'est plus une stratégie. C'est, de plus en plus, un aveu.
Parfois, cela veut dire « nous n'avons pas encore fait le travail ».
Parfois, « nos systèmes sont un chantier ».
Parfois, « ce que cela va changer nous fait peur ».
Soit. Mais appelons les choses par leur nom.
Car le marché se construit autour de l'objection en temps réel.
Et une fois le prétexte disparu, il ne reste que l'écart de compétence.
C'est dans cet écart que se trient les prochains gagnants et les prochains perdants.
