Le point aveugle du TPRM face aux outils d’IA dans l’industrie manufacturière
Les outils d’intelligence artificielle s’infiltrent dans les logiciels d’entreprise sans contrat, sans diligence raisonnable et sans déclencheur de TPRM (Third‑Party Risk Management). La plupart des fonctions de conformité manufacturière ignorent leur présence, créant un risque juridique et opérationnel majeur.
Comment l’IA s’introduit‑elle dans les systèmes existants ?
Un service métier peut demander un outil de prévision d’achats pour optimiser l’approvisionnement en matières premières. Après validation des processus classiques (revue d’achat, DPA, accès IT), le fournisseur déploie une mise à jour activant une fonction générative d’IA qui traite des données sensibles : prix fournisseurs, prévisions de volume, listes de fournisseurs préférés. Aucun nouveau contrat n’est signé, aucun DPA n’est mis à jour, aucun déclencheur TPRM n’est activé.
Pourquoi le secteur manufacturier est‑il particulièrement exposé ?
Les plateformes ERP comme SAP S/4HANA intègrent désormais Joule, un assistant IA génératif activé par défaut. Les plateformes de gestion du cycle de vie produit (PTC Windchill, Siemens Teamcenter) offrent des revues de conception assistées par IA. Les outils de maintenance prédictive connectés aux équipements OT (compresseurs, lignes de revêtement, mélangeurs) envoient des données opérationnelles vers des modèles cloud.
Ces données comprennent des formulations propriétaires, des paramètres de processus, des termes contractuels fournisseurs et, dans certains cas, des spécifications à double usage soumises aux contrôles d’exportation de l’UE ou aux EAR américaines. L’opacité sur le modèle de fondation utilisé, sa formation et sa rétention rend impossible toute atténuation du risque via les clauses DPA classiques.
Le déclencheur TPRM qui ne se produit jamais
Le TPRM traditionnel s’appuie sur des événements commerciaux (signature de contrat, bon de commande, demande d’accès IT). Les nouvelles capacités IA arrivent via des mises à jour de fonctionnalités, souvent signalées uniquement dans un changelog que les équipes d’achat ne lisent pas. Ainsi, le profil de risque d’un outil approuvé il y a deux ans peut changer du jour au lendemain sans aucune alerte.
Impératifs réglementaires : l’AI Act européen
L’article 26 de l’AI Act oblige les déployeurs, y compris les fabricants, à documenter l’objectif prévu des systèmes d’IA, à surveiller leurs sorties et à conserver des preuves de contrôle. Aucun de ces critères ne peut être satisfait lorsqu’une composante IA est inconnue. L’ignorance n’est pas une atténuation lors d’un audit réglementaire.
Chaîne de sous‑traitance invisible
Le fournisseur SaaS constitue le tiers 1. Le modèle de fondation (OpenAI, Anthropic, Google DeepMind ou un modèle propriétaire) représente le tiers 2. Ce modèle peut s’appuyer sur une infrastructure tiers 3. Dans un contexte de chaîne d’approvisionnement à plusieurs niveaux, la visibilité sur ces couches additionnelles est pratiquement inexistante.
Un fournisseur qui ne peut pas identifier le modèle de fondation utilisé ni préciser s’il réentraîne sur les données clients ne satisfait pas les exigences d’évaluation de risque.
Trois changements concrets pour combler la lacune
1. Découpler l’ingestion IA des événements commerciaux : mettre en place un workflow qui déclenche une réévaluation TPRM chaque fois qu’une note de version ou un changelog mentionne une fonctionnalité IA ou LLM, même en l’absence d’achat.
2. Ajouter un avenant IA aux questionnaires de diligence : enrichir le SIG et le CAIQ avec des questions sur l’identité de chaque modèle d’IA, l’utilisation des données client pour l’entraînement, la liste des sous-processus IA et la certification ISO/IEC 42001 ou son plan de mise en conformité.
3. Exiger la traçabilité des données exportées : pour les données soumises à contrôle d’exportation, inclure une question spécifique sur le lieu de traitement du modèle et les mesures de conformité aux régulations d’exportation.
Conclusion
Fermer le point aveugle de l’IA dans le TPRM ne nécessite pas de nouveau cadre, mais une adaptation ciblée des processus existants. En automatisant la détection des fonctionnalités IA, en enrichissant les questionnaires de diligence et en assurant la traçabilité des flux de données, les organisations manufacturières peuvent réduire significativement le risque d’exposition non maîtrisée tout en respectant les exigences de l’AI Act.