EY retire une étude truffée d'hallucinations IA : le cabinet de conseil comme vecteur de risque
Le rapport commandé par l'APRA (Australasian Performing Right Association) et l'AMCOS (Australasian Mechanical Copyright Owners Society) portait sur la contribution économique de l'industrie musicale australienne. EY l'a publié, puis retiré. Motif : plusieurs chiffres clés du document étaient des hallucinations générées par un modèle de langage, présentées comme des données factuelles sourcées.
Le rapport avançait que l'industrie musicale contribuait à hauteur de 12 milliards de dollars australiens au PIB. Ce chiffre a été contesté par des économistes indépendants et par des journalistes du Guardian Australia, qui ont remonté la chaîne de sourcing. Plusieurs références citées dans le document n'existaient tout simplement pas. D'autres renvoyaient à des publications réelles mais dont les données avaient été déformées — un schéma classique d'hallucination par interpolation que les équipes techniques connaissent bien depuis GPT-3.5.
EY a confirmé le retrait dans un communiqué laconique, évoquant des « inexactitudes » sans utiliser le mot « IA » ni préciser quel outil avait été employé. Le cabinet a indiqué qu'une « revue interne » était en cours.
Le process de revue qui n'a pas fonctionné
Pour un Big Four, un rapport économique sectoriel destiné à une fédération professionnelle passe en théorie par plusieurs niveaux de validation : l'équipe projet, un partner review, parfois un quality & risk management indépendant. Le fait que des références bibliographiques inventées aient survécu à cette chaîne suggère soit que la revue a été expédiée, soit que les reviewers ont eux-mêmes fait confiance à l'outil sans vérifier les sources primaires. Les deux hypothèses mènent au même endroit.
Un associé d'un cabinet concurrent, interrogé sur le sujet par la presse australienne, a résumé la situation ainsi : « Le problème n'est pas qu'un consultant ait utilisé ChatGPT. Le problème, c'est que personne dans la chaîne de validation n'a ouvert les liens. »
En mars 2024, EY avait annoncé un investissement de 1,4 milliard de dollars sur trois ans dans l'IA et la technologie, avec un partenariat stratégique Microsoft-OpenAI. Le cabinet a lancé EY.ai, sa plateforme interne, et revendiquait à l'époque plus de 4 000 projets clients intégrant de l'IA générative. L'incident australien n'a pas été mentionné dans les communications corporate liées à cette initiative.
Ce que les DSI achètent vraiment
Quand une entreprise mandate un cabinet de conseil pour un rapport, un audit ou une due diligence, elle achète — en principe — une méthodologie, une expertise sectorielle et une assurance de fiabilité. Le tarif horaire d'un consultant EY senior en Australie tourne autour de 450 à 600 dollars australiens de l'heure. À ce prix, le client paie pour que quelqu'un vérifie les chiffres.
Or la plupart des contrats de conseil ne comportent aucune clause spécifique sur l'utilisation d'outils d'IA générative dans la production des livrables. Ni obligation de déclaration, ni engagement de vérification humaine systématique, ni répartition de responsabilité en cas de données fabriquées. Les conditions générales standard des Big Four couvrent les erreurs et omissions classiques, pas les hallucinations algorithmiques.
Un DSI d'un groupe coté européen, qui a requis l'anonymat, a indiqué avoir ajouté depuis début 2025 une clause dans ses appels d'offres conseil exigeant la déclaration de tout usage d'IA générative dans les livrables. « On nous a regardés bizarrement la première fois. Maintenant, deux cabinets sur trois nous disent qu'ils ont une politique interne. Mais personne ne veut la mettre par écrit dans le contrat. »
Avocat, juge, auditeur
L'incident EY n'est pas isolé. En juin 2023, l'avocat new-yorkais Steven Schwartz avait cité dans un mémoire judiciaire six décisions de justice inventées par ChatGPT. Le juge avait sanctionné le cabinet. En 2024, un audit interne d'une administration fédérale américaine avait identifié des résumés produits par un prestataire conseil contenant des statistiques sans source vérifiable — le prestataire n'a pas été nommé publiquement.
La différence avec l'affaire EY : il s'agit d'un rapport économique public, signé par un cabinet dont la marque repose précisément sur la fiabilité des données. Et le client final — une fédération professionnelle — a utilisé ces chiffres dans son lobbying auprès du gouvernement australien. Les données hallucinées ont alimenté des argumentaires politiques avant d'être identifiées comme fausses.
Le rapport a été en circulation pendant plusieurs semaines. L'APRA-AMCOS a dû publier un rectificatif et retirer ses propres communications dérivées.
La question opérationnelle
Pour un DSI ou un directeur des achats IT, l'incident repose la question de la gouvernance fournisseur sous un angle nouveau. Quand un prestataire utilise de l'IA générative dans ses livrables, le risque ne porte pas seulement sur la propriété intellectuelle ou la confidentialité des données — les deux sujets habituellement couverts par les DPO et les juristes. Il porte sur la véracité du livrable lui-même.
Les frameworks de gouvernance IA existants — EU AI Act, NIST AI RMF, ISO 42001 — traitent de l'IA déployée par l'entreprise, pas de l'IA utilisée par ses fournisseurs de services intellectuels pour produire ce qu'elle achète. Le trou dans la raquette est structurel.
Chez EY, l'étude australienne a été produite par une équipe locale. Le bureau de Sydney compte environ 6 000 collaborateurs. Le partner en charge du rapport n'a pas fait de déclaration publique individuelle.
Un détail dans le communiqué de retrait : EY a précisé que le rapport serait « remplacé par une version révisée utilisant des méthodologies vérifiées ». La formulation laisse entendre que la méthodologie initiale ne l'était pas.
TL;DR
EY a retiré un rapport économique public après la découverte de données fabriquées par une IA générative — un incident qui expose l'absence totale de cadre contractuel et réglementaire sur l'usage de l'IA par les prestataires de conseil.
- Plusieurs chiffres clés et références bibliographiques du rapport étaient des hallucinations IA, utilisées dans du lobbying politique avant d'être détectées comme fausses.
- Les contrats standard des Big Four ne comportent ni obligation de déclarer l'usage d'IA générative, ni clause spécifique sur la responsabilité en cas de données fabriquées par un modèle.
- Les frameworks de gouvernance IA (EU AI Act, NIST, ISO 42001) couvrent l'IA déployée par l'entreprise, pas celle utilisée par ses fournisseurs de services intellectuels — un angle mort structurel pour les DSI.
Questions fréquentes
Comment un DSI peut-il vérifier si un cabinet de conseil utilise de l'IA générative dans ses livrables?
Aujourd'hui, il ne peut pas — sauf à l'exiger contractuellement. Aucun standard sectoriel n'impose la traçabilité du processus de production intellectuelle. La seule approche opérationnelle consiste à ajouter des clauses de déclaration et de vérification humaine dans les appels d'offres, et à demander la documentation des sources primaires utilisées.
L'EU AI Act couvre-t-il ce type de situation?
Non directement. Le règlement européen classe les systèmes d'IA par niveau de risque et impose des obligations aux fournisseurs et déployeurs d'IA. Mais un cabinet de conseil qui utilise un LLM pour produire un rapport n'entre pas dans les catégories visées — il n'est ni fournisseur ni déployeur au sens du texte. Le livrable final n'est pas un système d'IA, c'est un document PDF.
Quels recours existent si un rapport de conseil contient des données hallucinées par l'IA?
Les recours classiques en responsabilité contractuelle s'appliquent : obligation de moyens, devoir de diligence, clause erreurs et omissions. Mais prouver qu'une donnée a été spécifiquement fabriquée par un LLM plutôt que résultant d'une erreur humaine classique reste complexe. L'enjeu pour les directions juridiques est d'anticiper ce risque dans les contrats avant qu'il se matérialise.