Dark data : quand 80 à 90 % des données de votre entreprise deviennent un risque cyber

16/6/26
👈 les autres actualités

Les équipes sécurité et DPO consacrent beaucoup d'énergie à l'intelligence artificielle. Mais un autre risque, bien moins visible, ronge les systèmes d'information depuis des années : le chaos des données. Selon une analyse relayée par ZDNet France, entre 80 et 90 % des données stockées en entreprise seraient non structurées, non gouvernées, non cataloguées. Une bombe à retardement pour la conformité RGPD — et pour la sécurité.

Ce qui s'est passé

Box a publié une analyse sur ce que les professionnels de la sécurité appellent le « dark data » : l'ensemble des fichiers, documents, emails, enregistrements et données qui s'accumulent dans les systèmes d'information sans inventaire, sans classification, sans durée de rétention définie. Leur estimation : entre 80 et 90 % du volume total de données en entreprise entrerait dans cette catégorie.

La thèse est directe — et dérange : le désordre documentaire constitue un risque cyber plus immédiat que l'IA générative pour la majorité des organisations. En cas de violation de sécurité, les données que vous ne savez pas que vous détenez sont exactement celles que vous ne pouvez pas protéger, ni notifier, ni contenir.

Pourquoi c'est important

Du point de vue RGPD, le dark data cristallise plusieurs obligations non respectées simultanément. L'article 5 du RGPD impose la limitation de la conservation : vous ne pouvez légalement conserver des données personnelles que le temps nécessaire à la finalité initiale. Or, un fichier RH de 2018 qui traîne dans un dossier partagé non répertorié viole ce principe de facto.

L'article 30 exige un registre des traitements exhaustif — impossible à tenir sérieusement quand une part écrasante des données reste hors de tout inventaire. Et en cas de violation, l'article 33 impose une notification à la CNIL sous 72 heures. Comment respecter ce délai si vous n'avez aucune cartographie de vos données ?

Ce phénomène est étroitement lié au Shadow IT : quand les collaborateurs utilisent des outils non validés pour stocker ou partager des fichiers, les données migrent hors du périmètre contrôlé et grossissent la masse de dark data. Le RSSI et le DPO se retrouvent alors face à un angle mort structurel qu'aucun outil de détection ne peut combler à lui seul.

La problématique rejoint aussi les alertes récentes sur le Shadow AI : les outils d'IA génératifs exploitent ces données non structurées comme contexte, amplifiant le risque de fuite ou de traitement illégitime.

Ce que ça change pour les organisations

Le dark data impose trois chantiers concrets pour les DPO et RSSI :

1. Cartographier avant de sécuriser. Impossible de protéger ce que vous ne voyez pas. Un audit régulier des espaces de stockage (SharePoint, drives partagés, messageries, outils métier) est indispensable pour identifier les données orphelines. C'est un prérequis à toute politique de sécurité informatique sérieuse.

2. Appliquer des règles de rétention automatisées. La suppression manuelle ne fonctionne pas à l'échelle. Les outils de gouvernance documentaire permettent de définir des durées de conservation par type de données et de déclencher des suppressions ou archivages automatiques. C'est l'une des mesures les plus efficaces pour réduire la surface d'exposition.

3. Intégrer la gouvernance des données dans la stratégie IA. Avant de déployer un agent IA ou un copilote sur vos données internes, la question n'est pas « est-ce que l'outil est sécurisé ? » mais « est-ce que les données sur lesquelles il va opérer sont propres, classifiées, légitimes ? ». Les deux enjeux sont indissociables, comme le souligne la montée en puissance de la gouvernance IA collective en entreprise.

Ce que Leto pense de cette décision

L'argument est juste, même s'il vient d'un éditeur de solutions documentaires qui a un intérêt commercial évident. Le dark data est un vrai sujet de fond — et il est chroniquement sous-estimé par rapport à des risques plus « visibles » comme les ransomwares ou les vulnérabilités zero-day.

Pour les DPO, le message est simple : la conformité RGPD commence par savoir ce que vous traitez. Pas par les politiques de confidentialité, pas par les contrats de sous-traitance — par l'inventaire. Un registre des traitements incomplet parce que la moitié de vos données n'est pas cartographiée n'est pas un registre : c'est une illusion de conformité. La gouvernance cyber face aux intégrations tierces et à l'IA commence exactement ici.

Sources : ZDNet France / Box — ZD Tech (juin 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026