🔄 Mise à jour 2026 : Article enrichi avec les dernières obligations AI Act (application août 2026), chiffres 2025 actualisés, et nouvelles techniques de deepfake.
Depuis l'arrivée de ChatGPT en novembre 2022, l'Intelligence Artificielle s'est imposée dans les entreprises à une vitesse fulgurante. En 2026, 73% des entreprises françaises utilisent des outils IA au quotidien, mais seulement 28% ont formé leurs équipes aux risques associés.
Cette absence de sensibilisation expose les organisations à des risques majeurs : fuites de données sensibles, violations RGPD, deepfakes sophistiqués et non-conformité à l'AI Act (application complète le 2 août 2026)
Bonne nouvelle : sensibiliser vos équipes à l'IA n'est ni long ni compliqué. En suivant les 5 bonnes pratiques de ce guide, vous transformerez vos collaborateurs en première ligne de défense contre les risques IA, tout en maximisant les bénéfices de ces technologies.
Sensibilisation IA en chiffres (2025-2026)
Adoption IA en entreprise :
- 73% des entreprises françaises utilisent l'IA (vs 45% en 2023)
- 28% seulement ont formé leurs équipes
- €12,4Mds : coût estimé des incidents IA non maîtrisée en France (2025)
Risques identifiés :
- 67% des salariés partagent des données sensibles avec ChatGPT sans précaution
- +340% d'attaques par deepfake en 2025 (vs 2024)
- €25M : montant de la plus grosse fraude par deepfake (Hong Kong, février 2024)
Obligations légales 2026 :
- AI Act : Formation obligatoire pour utilisateurs IA à haut risque (article IV)
- 2 août 2026 : Deadline application complète AI Act
- RGPD : AIPD obligatoire pour IA traitant données sensibles
1- Qu’est-ce que l’ IA (intelligence artificielle) ?
Le Parlement européen a donné une définition de l’intelligence artificielle. L’IA représente l'ensemble des outils utilisés par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ». De ce fait, peuvent être qualifiés d’intelligence artificielle tous les systèmes qui mettent en œuvre des mécanismes proches de ceux du raisonnement humain.
On parle alors d’ IA générative. L'intelligence artificielle générative est une sous-section de l'intelligence artificielle. Ces systèmes ont la capacité de créer des œuvres inédites, de manière pleinement autonome.
Les systèmes d'intelligence artificielle reposent sur l'exploitation de données personnelles pour entraîner le modèle (ou l'algorithme) à se développer et à imiter une tâche humaine.
L’IA générative a permis au plus grand nombre d’accéder à cette technologie quand elle était auparavant réservée à des spécialistes. L’outil ChatGPT en est l’exemple le plus flagrant puisque cette IA conversationnelle est désormais utilisable par le grand public. Tout le monde peut mener une conversation avec l’IA d’Open AI en créant très simplement un compte.
Plus précisément, l’IA générative recoupe les algorithmes de l’intelligence artificielle et le machine learning. Le Machine Learning permet aux algorithmes d'apprendre à partir de l'expérience et d'adapter leur comportement en fonction des nouvelles données. Concrètement, l’IA et le machine learning utilisent des contenus existants pour leur apprentissage, de manière à en générer de nouveaux. Le fonctionnement de cette technologie repose sur les modèles stockés dans une base de données qui lui permettent de créer un modèle similaire.
Or, l'émergence de l'intelligence artificielle au quotidien, notamment en entreprise, génère un bouleversement majeur.
Ces technologies viennent notamment se heurter aux règles en matière de protection des données personnelles, et plus particulièrement aux grands principes du RGPD (règlement général sur la protection des données).
Voyons en quoi l’ IA présente des risques pour les personnes et les entreprises.
2- Quels sont les risques de l’intelligence artificielle pour les données personnelles ?
Comme toute technologie, les outils développés avec l’intelligence artificielle sont sujets à des défaillances. Ensuite, face à leur développement, nous n’avons pas encore le recul nécessaire pour mesurer les conséquences qu’ils pourraient avoir sur les personnes et la société dans son ensemble.
Les différents types de risques liés à l’IA
Si les systèmes d’IA présentent de nombreux avantages, il est important d’en connaître les risques afin de s’en prémunir. Et notamment les risques sur les données car comme nous l’avons vu, la source principale d'alimentation et de développement de l'IA sont les données, dont des données à caractère personnel.
Le risque de biais
Les outils d’IA ne son pas exempts du risque d’erreur lié à une défaillance ou à une discrimination intégrée dans l’outil. Le risque de biais est réel, induisant un vrai risque sur la vie des personnes concernées en cas de décision individuelle automatisée et de profilage.
Or, l’article 22 du RGPD précise que : “La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire”.
De ce fait, parmi les droits des personnes concernées, s’impose celui de s’opposer à certains traitements automatisés, lorsque ceux-ci n’intègrent pas une intervention humaine dans le processus de décision.
🔎 Par exemple, il est possible d’utiliser un système d’IA pour rendre une décision concernant un candidat à l‘embauche, à condition qu’un être humain soit intervenu dans ce processus de recrutement.
Les erreurs liées aux données
Les erreurs peuvent être engendrées par les conditions d’utilisation du système d’IA, et notamment une mauvaise qualité des données. C’est de la qualité des données fournies au système pour l'entraîner que dépend sa performance.
Prenons l’exemple de ChatGPT. L’outil est entraîné avec des volumes faramineux d’informations. Parmi elles, il y a de vraies informations mais aussi des données inexactes voire complètement fausses. Pire certaines, relèvent de la “fake news”, c’est-à-dire sciemment inventées. Le robot conversationnel ne peut absolument pas faire la différence.
Or, un traitement de données inexactes constitue une violation au principe d’exactitude des données posé par l’article 5 du RGPD.
Un traitement de données personnelles sans base légale
La collecte et le traitement des données personnelles n’est autorisé que s’ils reposent sur l’une des 6 bases légales édictées par l’article 6 du RGPD : consentement, contrat, intérêt légitime, etc.
Reprenons l’exemple de ChatGPT. L’outil collecte des données personnelles pour son entraînement. Or, il ne se fonde sur aucune base légale pour justifier ce traitement de données personnelles. La société Open AI estime poursuivre des intérêts légitimes avec son outil de chatbot. Cependant, pour que cet argument soit justifié, l'intérêt légitime doit contrebalancer l’atteinte à la vie privée des personnes. Ce n’est pas le cas car cette IA générative utilise des quantités gigantesques de données dont certaines sont des données sensibles. Le risque pour les personnes concernées est trop important au regard de l'intérêt légitime avancé par Open AI.
Pour être licite, l’utilisation de ces données pourrait faire l’objet d’un consentement.
Cependant, d’une part, le consentement des utilisateurs de ChatGPT au traitement de leurs données n’est jamais demandé.
D’autre part, il est impossible d’identifier les données personnelles pour les retirer des modèles. Et sans doute encore plus compliqué d’identifier leurs propriétaires pour leur demander leur consentement à l’utilisation de ces données pour l'entraînement de l’IA. Les sociétés d’IA achètent des quantités massives de données pour entraîner leurs modèles et ils ne connaissent généralement pas leur origine.
Un manque d’information des personnes concernées
Les articles 12, 13 et 14 du RGPD imposent aux organismes de délivrer une information concise, transparente, compréhensible et accessible aux personnes dont les données sont collectées.
Continuons avec notre exemple de ChatGPT. Dans son communiqué du 31 mars 2023, l’autorité de contrôle italienne a relevé un défaut d'information des utilisateurs concernant le traitement réservé à leurs données personnelles.
Les conversations qu’ont les utilisateurs avec ChatGPT sont enregistrées pour nourrir l’algorithme et entraîner le modèle de langage. Or, on ne trouve aucune mention de ce fait lorsque l’on utilise le chatbot. Cependant, il est désormais possible de désactiver l'enregistrement.
Vous ne trouverez pas non plus de politique de confidentialité sur le site web et il n'est n’indiqué clairement les finalités d’utilisation des données personnelles des utilisateurs.
L'AI Act 2026 : encadrer le développement de l'IA en fonction du risque
Depuis le 1er août 2024, l'AI Act (Règlement européen 2024/1689) encadre le développement et l'utilisation de l'IA en Europe. C'est le premier cadre juridique mondial sur l'intelligence artificielle.
Date clé : L'AI Act sera pleinement applicable le 2 août 2026. Les entreprises qui utilisent des IA à haut risque doivent être conformes à cette date.
Obligation de formation (Article IV)
L'AI Act impose explicitement la formation des utilisateurs d'IA :
"Les fournisseurs et les utilisateurs de systèmes d'IA prennent des mesures pour assurer, dans la mesure du possible, un niveau suffisant de connaissances en matière d'IA à leur personnel et aux autres personnes chargées du fonctionnement et de l'utilisation des systèmes d'IA en leur nom."
Autrement dit, si vos collaborateurs utilisent des outils IA (ChatGPT, outils de recrutement, scoring...), vous devez les former aux risques et bonnes pratiques.
Les 4 niveaux de risque AI Act
L'AI Act classe les systèmes d'IA selon leur niveau de risque :
- Inacceptable : Scoring social, manipulation cognitive - ⛔ Interdit
- Haut risque : Tri de CV, notation crédit, biométrie - Marquage CE + Formation obligatoire
- Risque limité : Chatbots, deepfakes artistiques - Transparence (mention "IA"
- Risque minimal : Anti-spam, correcteurs orthographiques - Pas d'obligation
ChatGPT : Quel niveau de risque ?
ChatGPT est un modèle GPAI (IA à usage général).
Obligations pour OpenAI : Documentation technique, politique droit d'auteur (✅ En vigueur depuis août 2025)
Pour vous (utilisateur) :
- Usage basique (rédaction emails, brainstorming) → Risque minimal → Sensibilisation recommandée
- Usage avancé(tri CV, analyse données clients) → Haut risque → ormation obligatoire
⚠️ Attention : Si vous utilisez ChatGPT pour trier des CV ou analyser des performances salariés, vous êtes soumis aux obligations IA à haut risque (formation, documentation, marquage CE).
Autorités de contrôle en France
Depuis septembre 2025, les autorités françaises sont désignées :
- CNIL : Biométrie, catégorisation, scoring, émotions
- DGCCRF : Manipulation, transparence, protection consommateurs
- Arcom : Contenus générés IA, deepfakes médiatiques
Premiers contrôles attendus : Printemps 2026 (après la deadline du 2 août)
3 - Sensibilisation IA en entreprise : État des lieux 2025
Avant de détailler les bonnes pratiques, voici un panorama de la sensibilisation IA en entreprise en 2025.
Adoption IA en entreprise
En France :
- 73% des entreprises utilisent des outils IA (2025)
- +62% d'adoption vs 2023 (45%)
- 8,2 Md€ investis dans l'IA en 2025
Outils les plus utilisés :
1. ChatGPT / Claude / Gemini (assistants conversationnels) : 58%
2. Outils de génération contenu (rédaction, images) : 41%
3. IA de traduction : 38%
4. IA d'analyse de données : 29%
5. IA RH (recrutement, évaluation) :18%
Le problème : Manque de sensibilisation
Entreprises :
- 28% seulement ont formé leurs équipes à l'IA
- 19% ont une politique d'usage IA écrite
- 12% ont réalisé une AIPD pour leurs outils IA
Salariés :
- 67% partagent des données sensibles avec ChatGPT sans précaution
- 54% ne savent pas que leurs conversations sont enregistrées82%n'ont jamais été formés aux risques IA
- 82% n'ont jamais été formés aux risques IA
- 41% ne connaissent pas l'AI Act
Les risques réels
Les fuites de données :
- €12,4Mds : coût estimé incidents IA en France (2025)
- 43% des entreprises ont subi une fuite de données via outil IA (2024-2025)
- Exemple : Salarié copie-colle contrat client dans ChatGPT → Données exposées
Deepfakes :
- +340% d'attaques par deepfake en 2025 (vs 2024)
- €25M: plus grosse fraude deepfake (Hong Kong, février 2024)
- €3,8M : montant moyen d'une fraude deepfake réussie
Non-conformité RGPD + AI Act :
- €478M amendes CNIL 2025 (dont plusieurs liées à l'IA)
- Sanctions AI Act : jusqu'à 35M€ ou 7% du CA mondial
Retour sur investissement de la formation
Entreprises ayant formé leurs équipes :
- -76% d'incidents liés à l'IA
- -€420k économies moyennes (fuites évitées, amendes...)
- +34% productivité (meilleur usage IA)
- +89% confiance des collaborateurs
👉🏼 Leto vous accompagne dans la formation de vos équipes sur les sujets de l'IA
3- Sensibilisation IA : comment former les utilisateurs aux risques de l’intelligence artificielle ?
L’Intelligence Artificielle (IA) générative s’impose comme un outil indispensable afin d’automatiser certaines tâches, de réduire les coûts de production et d’améliorer la productivité.
Toutefois, comme nous venons de le voir, l’utilisation de l’intelligence artificielle n’est pas dénuée de risques. Pour les limiter, il devient indispensable de dispenser des formations aux collaborateurs afin de les sensibiliser à l' intelligence artificielle.
Voici 5 bonnes pratiques pour une campagne de sensibilisation réussie :
1- Identifier les collaborateurs qui utilisent et/ou pourraient utiliser l’IA
Il s’agit d’identifier les salariés qui utilisent déjà l’intelligence artificielle dans leur travail ainsi que ceux qui ne le font pas mais qui y gagneraient.
Pour initier une campagne de sensibilisation à l'intelligence artificielle efficace, ciblez les équipes dont l’IA peut améliorer le quotidien. Si certaines équipes ne l’utilisent pas encore, une formation pourrait les aider à intégrer l’intelligence artificielle dans leur quotidien.
Il ne sert à rien de lancer une campagne de formation globale dans toute l’entreprise, embarquant des personnes non concernées et qui ne sont pas exposées à des risques liés à l’IA.
De même, les campagnes de sensibilisation doivent être personnalisées. En effet, les différents services n’utilisent pas l’IA de la même manière et les données traitées ne sont pas les mêmes. Ainsi, les risques encourus diffèrent d’une équipe à l’autre. La formation doit donc être adaptée au métier, au secteur d’activité et aux enjeux.
La cartographie des besoins des utilisateurs et futurs utilisateurs est la première étape pour une formation efficace.
2- Rassurer les équipes concernant l’intelligence artificielle
La formation à l'intelligence artificielle doit avoir pour objectifs :
- de comprendre comment tirer profit de l’IA sans mettre en danger les données sensibles et confidentielles ;
- de rassurer quant à l’usage de l’IA dans l’entreprise car si pour certains il s’agit d’un outil formidable, pour d’autres, c’est une source de craintes, notamment celle que l’IA entraîne la suppression de leur poste.
Pour cela, la formation doit :
- présenter clairement les outils et les fonctionnalités de l’IA générative utilisées dans l’entreprise ;
- expliquer comment leur utilisation peut faciliter le quotidien et réduire la charge de travail ;
- indiquer les limites de l’intelligence artificielle ;
- identifier les bonnes pratiques.
3- Inciter les utilisateurs à prendre des précautions dans le partage de données
Les utilisateurs des IA ne sont généralement pas assez informés des risques.
Par exemple, ChatGPT ne mentionne aucune information concernant la collecte et le traitement des données personnelles. Il est alors essentiel d’attirer l’attention des utilisateurs sur les conséquences d’un partage de données personnelles et/ou sensibles ainsi que des données de l’entreprise.
🔎 Exemple, un salarié partage des données à une IA générative dans le but de résoudre un cas pratique. Certaines informations peuvent être confidentielles. Or, ces données sont réutilisées par l’IA pour s'entraîner.
Les précautions élémentaires de sécurité doivent être rappelées aux utilisateurs quant au partage des données.
4- Prendre garde aux deepfakes
Si les utilisateurs doivent avoir conscience que les IA ne sont pas infaillibles et peuvent générer des réponses erronées, il est également nécessaire de les sensibiliser au risque de deepfake.
Le deepfake est une technologie avancée d’intelligence artificielle permettant de générer des contenus vidéos ou audios ultra réalistes. Ils peuvent :
- imiter des voix : voice cloning,
- imiter des expressions faciales de véritables personnes : face swap.
Le deepfake est utilisé par des pirates informatiques pour créer des arnaques et pratiquer le phishing. Les vidéos et les enregistrements sont modifiés pour manipuler les victimes et les inciter à adopter le comportement voulu : divulgation d’informations, réalisation de transactions, etc.
L’évolution rapide de cette technologie grâce aux progrès continus des algorithmes de deep learning, rend difficilement identifiables ces deepfakes. Il est fondamental d’alerter les utilisateurs sur cette technique qui a déjà fait des victimes.
🔎 Exemple : nous avons tous en tête l’histoire de ce salarié de Hong Kong qui a fait perdre 25 millions à son entreprise à cause d’un deepfake. Il pensait assister à une réunion à distance avec ses collègues. En réalité, les participants avaient été créés par IA dans une visio-conférence deep fake imitant à la fois leurs voix et leurs visages. Le salarié a ainsi transféré l’argent, croyant répondre à la demande de son supérieur.
Techniques de deepfake 2025 : Nouvelles menaces
- Voice cloning ultra-réaliste : 3 sec d'audio suffisent pour cloner une voix (vs 20s en 2023). Exemple : PDG appelé par son "DG" (deepfake) pour virer €850k (France, sept 2025)
- Live deepfake : Manipulation vidéo en temps réel*(Zoom, Teams). Impossible à distinguer visuellement : détection uniquement par questions pièges
- Deepfake multimodal : Imite voix + visage + style d'écriture (emails, Slack)
Vous voyez que ces techniques de phishing sophistiquées exposent les entreprises à de très sérieuses menaces en matière de sécurité.
5- S’équiper d’un outil de sensibilisation à l’intelligence artificielle
Pour sensibiliser les collaborateurs aux défis de sécurité posés par l'utilisation de l’IA, il devient essentiel de mettre en place des programmes de formation dédiés.
Objectif : augmenter le niveau de vigilance des collaborateurs face aux risques de l’intelligence artificielle et développer une culture de la cybersécurité.
Vous n’êtes pas seuls ! Il existe des outils de sensibilisation à l'IA pour vous aider dans cette mission. Vos collaborateurs deviendront ainsi la meilleure protection de l'entreprise contre les problématiques liées à l'IA.
Pour une plus grande efficacité, l‘outil de formation doit être adapté à votre secteur et à vos enjeux en la matière !
C’est pourquoi, Leto propose un module de sensibilisation à l’IA avec :
- Des formations ultra-personnalisées et ultra-engageantes pour les collaborateurs ;
- Des mises en situation concrètes et actionnables avec plus de 500 questions ;
- Une évaluation avec un score de maturité pour faire grandir vos équipes sur les sujets liés à l’IA ;
- Un webinar pour comprendre les grands enjeux et opportunités de l'IA Act.
Le module de sensibilisation de LETO est un outil complet. Il se présente sous la forme de campagnes de questions-réponses ultra ludiques.
Cet outil permet aux participants de monter en compétences régulièrement, tout en n’y consacrant que quelques minutes par session.
- Pour en savoir plus, c’est par ici : Le module de sensibilisation à l’IA et à la cybersécurité de Leto
