Rapport annuel EDPS 2025 : l'IA et la vie privée au cœur de la gouvernance européenne
Rapport annuel EDPS 2025 : l'IA et la vie privée au cœur de la gouvernance européenne
Le Contrôleur européen de la protection des données (EDPS) a publié sa newsletter n°120, mettant en lumière les défis cruciaux de la gouvernance de l'intelligence artificielle et la protection des données personnelles face à l'accélération des déploiements d'IA en Europe. Entre rapport annuel 2025, recommandations sur les systèmes d'IA critiques et scrutin du chatbot de la plateforme de visa UE, l'agenda réglementaire européen se dessine avec clarté pour les organisations.
Ce qu'a révélé le rapport EDPS 2025
Le rapport annuel 2025 du EDPS établit un bilan de l'évolution de la protection des données dans l'administration publique européenne. L'organisme supervise plus de 130 institutions et agences de l'UE — soit la plus importante base de données du secteur public européen. Le diagnostic : des systèmes d'information fragmentés, des traitements hérités non documentés, et une adoption accélérée d'outils d'IA générative sans toujours disposer des garde-fous élémentaires du RGPD.
Ce contexte explique pourquoi le rapport met l'accent sur deux domaines. D'abord, la gouvernance des données — seules 34 % des grandes entreprises françaises possèdent un programme effectif, selon un benchmark Silicon 2026. Ensuite, la cartographie et la qualification des systèmes d'IA, exigées désormais par l'AI Act pour toute organisation déployant des IA à haut risque.
L'IA générative entre opportunité et piège réglementaire
La newsletter détaille deux sujets qui cristallisent la tension entre innovation et conformité. Le chatbot déployé sur la plateforme UE de demande de visa a fait l'objet de recommandations spécifiques du EDPS — illustrant que les assistants d'IA générative, même internes, relèvent du droit de la protection des données. Chaque requête lancée par un demandeur de visa constitue un traitement de données personnelles : identité, historique de voyage, motivations.
Le phénomène du Shadow AI — utilisation non autorisée d'outils IA publics (ChatGPT, GitHub Copilot) sans validation DSI — s'est généralisé depuis 2024. L'EDPS alerte : une organisation qui laisse ses collaborateurs utiliser des chatbots génératifs non supervisés exposerait ses données à des violations RGPD massives. Contractuellement, aucune base légale, aucune AIPD, aucun article 28 avec le fournisseur.
Ce que les organisations doivent faire immédiatement
Pour les DPO et responsables conformité, les recommandations du EDPS se structurent autour de quatre axes :
1. Cartographier l'existant — Établir l'inventaire exhaustif de tous les systèmes d'IA actuellement en production, y compris les expérimentations et outils Shadow AI. La DGFiP officialise sa stratégie algorithmique avec un cas d'école : 34 ans de systèmes prédictifs sans gouvernance formelle.
2. Évaluer le risque selon l'AI Act — Distinguer les IA à haut risque (annexe III : ciblage de fraude, recrutement, biométrie) des autres. Pour chaque système à haut risque, l'EDPB vient d'adopter un template standardisé pour l'AIPD, simplifiant la documentation requise.
3. Sécuriser les données d'entraînement — L'AI Act exigera un training data registry avec linéage complet pour chaque modèle IA sensible. Cela implique tracer d'où viennent les données, comment elles ont été nettoyées, qui y a accès.
4. Structurer une gouvernance durable — La feuille de route du RIA (Responsable IA) émerge comme nouvel acteur clé — à côté du DPO, un interlocuteur dédié à la conformité IA.
Ce que Leto pense de cette évolution
La publication de la newsletter EDPS 120 confirme une tendance irréversible : la gouvernance de l'IA n'est plus un enjeu technique ou marketing, elle est un élément central de la conformité réglementaire. Les organisations qui attendent septembre 2026 (entrée en application largement attendue de l'AI Act) pour débuter cette cartographie courront le risque d'amende de 4 % du chiffre d'affaires global.
Pour les PME/ETI, la bonne nouvelle est que le EDPS et les autorités nationales fournissent progressivement des outils — templates, sandbox, guidance — pour réduire la complexité. La mauvaise nouvelle : ces outils s'adressent aux organisations déjà conscientes de l'enjeu. Le gap de gouvernance reste massif (66 % des grandes entreprises en France), et c'est dans ce gap que se creusent les risques.
Sources : EDPS Official — Silicon.fr — CNIL
