DPO et IA : l'enquête CNIL révèle un métier sous tension face au règlement IA

3/7/26
👈 les autres actualités

Sept organisations sur dix utilisent déjà l'intelligence artificielle ou prévoient de le faire. Moins d'un quart d'entre elles ont pourtant formalisé une politique de gouvernance IA. Entre ces deux chiffres se joue tout l'enjeu de la 5e édition de l'Observatoire du métier de DPO, publiée le 3 juillet par la CNIL, le ministère du Travail et l'AFCDP : les usages de l'IA progressent plus vite que la capacité des organisations à les encadrer, et les délégués à la protection des données se retrouvent en première ligne, souvent sans mandat ni formation clairs.

Ce qui s'est passé

Depuis 2018, la Délégation générale à l'emploi et la formation professionnelle (DGEFP), la CNIL et l'Association française des correspondants à la protection des données (AFCDP) suivent l'évolution du métier de DPO à travers un observatoire régulier. Réalisée par l'Afpa, cette cinquième édition se concentre pour la première fois sur l'impact de l'intelligence artificielle et du règlement IA (RIA) sur la fonction.

Les chiffres dressent un état des lieux contrasté. Côté usages, 70 % des organisations interrogées utilisent ou prévoient d'utiliser l'IA, et l'IA générative concerne 81 % d'entre elles. Deux tiers achètent leurs solutions auprès de fournisseurs externes, contre 22 % qui développent en interne. Côté gouvernance, le tableau est nettement moins avancé : moins d'un quart des organisations disposent d'une stratégie ou d'une politique IA formelle, moins d'un tiers ont mené des actions de sensibilisation ou adopté une charte d'utilisation, et seules 31 % ont commencé à se préparer à l'entrée en application du RIA.

Pourquoi c'est important

Le règlement IA ne mentionne pas explicitement le DPO dans ses chaînes de gouvernance. Sur le papier, rien n'impose donc que la conformité au RIA relève de son périmètre. Dans les faits, l'enquête montre l'inverse : 55 % des DPO déclarent que le RIA fait déjà partie de leurs responsabilités, et 71 % souhaitent que ce périmètre soit élargi officiellement. Cette appropriation de terrain s'explique facilement — la grande majorité des systèmes d'IA déployés traitent des données personnelles, ce qui place mécaniquement le RGPD au cœur des projets IA, et le DPO avec lui.

Le problème est que cette extension de fait n'est pas accompagnée des moyens correspondants. Seuls 27 % des DPO estiment bien connaître le texte du RIA, et 85 % n'ont suivi aucune formation spécifique sur l'IA. Or le règlement introduit une logique différente du RGPD : classification des systèmes par niveau de risque, obligations de conformité pour les systèmes à haut risque, désignation d'autorités compétentes distinctes des autorités de protection des données. Le cas de la DGFiP, qui a dû cartographier ses propres systèmes de ciblage algorithmique au regard de l'AI Act, illustre bien cette bascule : les obligations RGPD et RIA se superposent sans se confondre, et il faut les deux grilles de lecture pour être réellement conforme.

Ce que ça change pour les organisations

Concrètement, l'enquête appelle à trois chantiers prioritaires. D'abord, cartographier les systèmes d'IA effectivement utilisés — beaucoup d'organisations découvrent encore des usages non recensés au moment de l'audit. Ensuite, formaliser une politique de gouvernance IA minimale : charte d'utilisation, circuit de validation avant déploiement, association systématique du DPO aux projets. Enfin, investir dans la formation : la maîtrise du RIA ne s'improvise pas, et l'écart entre les 55 % de DPO qui gèrent déjà le sujet et les 27 % qui s'estiment compétents sur le texte est le signal le plus clair d'un besoin urgent de montée en compétences.

Ce que Leto pense de cette décision

Cette enquête confirme ce que beaucoup de DPO vivent déjà sur le terrain : la fonction s'élargit de fait, sans attendre que le droit ou l'organisation suivent. C'est risqué. Un DPO qui absorbe la conformité RIA sans formation ni reconnaissance formelle du périmètre s'expose à porter une responsabilité qu'il n'a pas les moyens d'assumer pleinement. Les organisations ont intérêt à trancher maintenant — formation, mandat écrit, ressources dédiées — plutôt que de laisser le sujet se régler par défaut au fil des projets IA.

Source : CNIL, Le métier de DPO à l'heure de l'intelligence artificielle : publication des résultats de l'enquête

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo