Shadow AI : l'EDPS alerte sur les risques de violation de données des outils IA non autorisés

16/6/26
👈 les autres actualités

Chatbots génératifs, assistants de codage, bots de transcription de réunions : les outils IA non approuvés prolifèrent dans les entreprises européennes au point que le Contrôleur Européen de la Protection des Données (EDPS) vient de tirer la sonnette d'alarme. Dans un billet de blog publié le 15 juin 2026, l'autorité de contrôle des institutions de l'UE détaille pourquoi le Shadow AI représente désormais l'un des vecteurs de violations de données personnelles les plus sous-estimés — et les plus dangereux.

Ce qui s'est passé

L'EDPS n'a pas attendu un incident retentissant pour prendre la parole. Son analyse part d'un constat structurel : lorsque des collaborateurs déploient des outils IA sans validation de la DSI, ils contournent de fait les garde-fous de protection des données et de sécurité informatique mis en place par l'organisation. Le phénomène n'est pas marginal. Selon l'étude de la Cloud Security Alliance publiée en avril 2026, 65 % des organisations ont déjà subi un incident directement lié à un agent IA, et 82 % ont découvert des agents fantômes actifs sur leur réseau à leur insu.

L'EDPS identifie trois catégories d'outils particulièrement exposées : les chatbots génératifs (auxquels les employés confient des données clients ou des documents internes), les assistants de codage (qui transfèrent parfois des extraits de code contenant des secrets ou des données personnelles vers des serveurs tiers), et les bots de transcription automatique de réunions — capables de rejoindre une visioconférence sans avoir été validés par les équipes sécurité. Sur ce dernier point, les risques RGPD des outils IA de codage avaient déjà été documentés par Privacy International en début d'année.

Pourquoi c'est important

Au-delà du risque immédiat de fuite de données, le Shadow AI crée des angles morts réglementaires : des traitements de données personnelles qui n'ont pas été inventoriés, n'ont donc pas fait l'objet d'une analyse d'impact (AIPD), et pour lesquels aucun contrat de sous-traitance n'a été signé. Or le RGPD impose précisément que tout transfert de données à un prestataire soit encadré par un DPA (Data Processing Agreement) conforme à l'article 28.

Le risque ne se limite pas à la conformité documentaire. En cas de violation de données impliquant un outil Shadow AI, la responsabilité du responsable de traitement reste entière — même si c'est un salarié qui a utilisé l'outil de sa propre initiative. Comme l'explique notre guide sur le Shadow IT et les enjeux RGPD, l'absence de visibilité sur les outils utilisés en interne ne constitue pas une défense recevable face à une autorité de contrôle.

La dimension IA renforce encore la problématique. Certains fournisseurs d'outils grand public utilisent les données traitées pour entraîner leurs modèles, faute de paramétrage enterprise approprié. Les droits des personnes concernées (accès, effacement, rectification) deviennent alors impossibles à exercer, puisque l'organisation ignore que ces données ont été transmises à un tiers.

Ce que ça change pour les organisations — actions concrètes

L'EDPS recommande une approche en quatre axes que les DPO peuvent immédiatement décliner en plan d'action.

Gouvernance claire : définir une politique IA interne précisant quels outils sont autorisés, selon quels critères, et sous quelle supervision. Cette politique doit être co-construite entre le DPO, la DSI, les équipes sécurité et les métiers. C'est précisément l'enjeu souligné dans notre analyse sur la gouvernance IA collective post-AI Act : interdire sans alternatives revient à pousser les usages dans l'ombre.

Alternatives sécurisées : proposer des outils approuvés répondant aux mêmes besoins de productivité, avec des contrats de sous-traitance en règle et une localisation des données en Europe. La demande des équipes est légitime — c'est à l'organisation de la canaliser, pas de l'étouffer.

Contrôles techniques : mettre en place un monitoring réseau permettant de détecter les connexions vers des endpoints IA non référencés. L'EDPS mentionne explicitement les bots de transcription susceptibles de rejoindre des réunions sans validation préalable — une faille que les solutions de sécurité endpoint commencent à peine à adresser.

Sensibilisation des collaborateurs : former les équipes aux risques spécifiques du Shadow AI. Notre guide sur les 5 bonnes pratiques pour sensibiliser vos équipes à l'IA offre un cadre directement applicable, mis à jour avec les obligations AI Act 2026.

Ce que Leto pense de cette décision

La prise de parole de l'EDPS est bienvenue, mais elle intervient dans un contexte où la régulation court après les usages. Le Shadow AI n'est pas un phénomène émergent : il existe depuis que les premiers ChatGPT ont envahi les boîtes mail professionnelles fin 2022. Ce qui change en 2026, c'est l'échelle — les agents IA autonomes capables d'agir sans supervision humaine décuplent le risque — et la pression réglementaire, avec l'AI Act qui entre en vigueur en août 2026.

Pour les DPO, la leçon est claire : la conformité RGPD ne peut plus se limiter à cartographier les traitements connus. Il faut désormais auditer activement les usages IA informels, intégrer le Shadow AI dans le registre des traitements et, surtout, construire une offre interne crédible d'outils approuvés. L'interdiction sans alternative ne fonctionne pas. La gouvernance partagée, si.

Sources : EDPS — Managing Shadow AI's Hidden Data Breach Risk (15 juin 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026