Les 3 questions que le COMEX pose sur l'IA (et comment y répondre)

La présentation IA type en COMEX dure 45 minutes. 30 minutes de démonstration technologique et de cas d'usage. Puis 15 minutes de questions. Et dans ces 15 minutes, peu importe le secteur ou la taille de l'entreprise, les mêmes trois questions reviennent. Presque dans le même ordre. Voici comment y répondre sans esquiver.

Question 1 : « Nos concurrents font-ils déjà ça ? »

C'est souvent la première question. Et la pire façon d'y répondre, c'est de dire « oui, tout le monde le fait » — ça crée de la panique sans direction — ou « non, vous seriez pionniers » — ça sonne comme une promesse non tenue.

La bonne réponse est sectorielle et factuelle. Pas « l'IA est partout », mais : « Dans votre secteur spécifiquement, voici ce que font vos trois principaux concurrents, avec des sources. Dans les services financiers, 68% des acteurs ont déployé au moins un cas d'usage IA en production en 2025 (McKinsey, 2025). Dans la distribution B2B, ce chiffre est à 41%. Votre secteur est ici. »

Le COMEX ne veut pas savoir si l'IA est une tendance mondiale. Il veut savoir s'il est en retard sur ses concurrents directs. Répondez à cette question précise. Avec des données sectorielles. Pas de la théorie générale.

Question 2 : « Qu'est-ce qu'on risque ? »

L'erreur classique est de minimiser pour ne pas effrayer. « Les risques sont maîtrisables. » « On a un bon DPO. » Ce type de réponse ne rassure personne dans un COMEX — ça signale qu'on ne sait pas vraiment de quoi on parle.

La bonne réponse donne des chiffres réels. La CNIL a prononcé 89 millions d'euros d'amendes RGPD en France en 2024. L'EU AI Act prévoit des sanctions jusqu'à 35 millions d'euros ou 7% du CA mondial pour les violations les plus graves. Un incident de fuite de données IA a coûté en moyenne 4,8 millions de dollars à l'entreprise affectée en 2024 (IBM Cost of Data Breach Report).

Puis expliquez ce que vous faites concrètement pour mitiger chacun de ces risques. Pas « on fait attention ». Un DPA signé avec le fournisseur. Un périmètre de données défini. Une supervision humaine sur les décisions à fort impact. Des logs d'audit. Ce n'est pas de la rhétorique — c'est de la gestion de risque documentée, et le COMEX sait reconnaître la différence.

Question 3 : « Combien et en combien de temps ? »

C'est la question la plus difficile — et celle sur laquelle on fait le plus d'erreurs. La tentation est de donner un chiffre optimiste pour faire passer le projet. C'est une erreur qui se paie plus tard.

Donnez une fourchette honnête avec des hypothèses explicites. « Sur ce cas d'usage précis, avec ce périmètre, nous estimons un investissement de X à Y euros sur 12 mois, pour un gain de Z à W euros par an à partir du 18e mois — sous réserve que les intégrations IT prennent moins de 3 mois et que le taux d'adoption atteigne 60%. »

Les hypothèses sont aussi importantes que les chiffres. Un COMEX qui comprend les hypothèses peut challenger la prévision intelligemment. Un COMEX à qui on donne un chiffre net se retrouvera avec un projet « en retard » dès le premier trimestre si les hypothèses ne se réalisent pas.

Comment structurer la présentation

La structure qui fonctionne le mieux avec un COMEX n'est pas « technologie → cas d'usage → ROI ». C'est l'inverse : commencez par la question business (quel problème on résout, quel retard on comble), puis le cas d'usage précis avec les chiffres de résultat attendus, puis seulement la technologie — en deux slides maximum.

Et gardez toujours une slide pour la gouvernance : qui décide quoi, qui supervise quoi, comment on sait si ça marche. Un COMEX qui valide un projet IA veut savoir qu'il ne signe pas un chèque en blanc dans une boîte noire.