Gouvernance des données : seules 34 % des grandes entreprises françaises ont un programme effectif

Le chiffre, publié par IDC France et relayé dans le benchmark 2026 de Silicon, sonne comme un avertissement adressé directement aux DPO et DSI : 66 % des grandes entreprises françaises n'ont pas de programme de gouvernance des données vraiment opérationnel. Au moment même où le RGPD, l'AI Act, NIS 2 et DORA convergent pour exiger une traçabilité de bout en bout, ce retard structurel devient un risque de conformité — et un frein direct aux projets IA.

Ce que dit le benchmark 2026

Le marché mondial des plateformes de gouvernance et de gestion des données pèse 11,7 milliards de dollars en 2025, avec une croissance annuelle de 18,6 % selon MarketsandMarkets. Cette dynamique est portée par deux moteurs simultanés : la pression réglementaire (RGPD, NIS 2, DORA, AI Act) qui impose de savoir où vivent les données, qui en est responsable et comment elles circulent ; et la généralisation des projets d'IA générative, qui exigent des jeux de données fiables, documentés et juridiquement utilisables pour entraîner les modèles.

Côté français, le verdict d'IDC est plus sévère : à peine un tiers des grandes entreprises déclarent disposer d'un programme de gouvernance effectif. Le référentiel DAMA-DMBOK place la majorité des organisations françaises au niveau 1 ou 2 sur les cinq paliers de maturité CMMI-Data — autrement dit, à un stade « réactif » ou « conscient », loin du niveau « optimisé » nécessaire pour soutenir un déploiement IA à grande échelle sans risque juridique.

Pourquoi c'est important — la gouvernance devient une obligation, pas une bonne pratique

Le RGPD imposait déjà la tenue d'un registre des activités de traitement (article 30), de manière exhaustive et tenue à jour. La pratique a longtemps été contournée par des tableurs vieillissants, mis à jour une fois par an au mieux. L'AI Act change la donne : pour chaque système d'IA à haut risque, les fournisseurs doivent désormais documenter l'origine des données d'entraînement, leur volume, leur représentativité et les biais identifiés. Sans linéage end-to-end, ce niveau de documentation est tout simplement impossible à produire le jour d'un contrôle.

Le coût du non-respect grimpe en parallèle : selon l'IAPP, les amendes RGPD prononcées en Europe ont dépassé 4,2 milliards d'euros en 2025, dont une part significative pour des registres incomplets ou des bases légales mal documentées. La CNIL, en France, a multiplié les sanctions visant des organisations dont la cartographie des traitements n'était pas opposable. Et l'arrivée de NIS 2 et DORA ajoute une couche : les obligations de notification d'incident et de continuité d'activité supposent de savoir, en quelques heures, quelles données ont été touchées et qui les hébergeait.

Ce que ça change concrètement pour les organisations

Trois tendances structurent le marché en 2026, et chacune appelle une décision opérationnelle côté DPO :

1. L'IA automatise enfin le catalogage et la classification. Les plateformes modernes (Collibra, Alation, Microsoft Purview) utilisent du machine learning pour détecter automatiquement les données sensibles (PII, santé, financier), suggérer des métadonnées et reconstruire le linéage depuis les logs des pipelines ETL. Selon Gartner, les organisations qui adoptent ces fonctions IA réduisent de 60 % le temps consacré aux tâches manuelles de catalogage. Pour un DPO, c'est l'occasion d'industrialiser un registre des traitements vivant plutôt que descriptif.

2. La convergence vers des suites unifiées. Plutôt que d'empiler un outil de catalogue, un outil de qualité et un outil MDM, le marché pousse vers des plateformes intégrées (Collibra, Informatica IDMC). L'enjeu pour la DPO est de ne plus subir des silos qui empêchent de retracer un parcours de donnée d'un système à l'autre — ce qui rend impossible toute AIPD sérieuse sur un traitement transverse.

3. La gouvernance s'intègre nativement dans les plateformes data. Databricks Unity Catalog, Snowflake Data Catalog, dbt documentation : la gouvernance n'est plus une surcouche, elle vit là où les données sont produites. Cela suppose un dialogue beaucoup plus étroit entre le DPO et les équipes data engineering — une conversation qui, dans 66 % des grandes entreprises françaises, n'a tout simplement pas lieu aujourd'hui.

L'AI Act ajoute une exigence inédite : tenir un training data registry avec le linéage complet de chaque dataset utilisé pour entraîner un modèle à haut risque. Cette obligation se branche directement sur l'obligation de conformité AI Act, et pour les DPO, elle nécessite d'élargir le registre RGPD existant aux données d'entraînement IA — ce qui est rarement le cas aujourd'hui.

Ce que Leto pense de cette décision

Le chiffre des 34 % n'est pas surprenant : il confirme ce qu'on observe sur le terrain. La majorité des PME et ETI tiennent un registre de traitements en .xlsx mis à jour une fois par an, sans linéage, sans qualité, sans politique d'accès opposable. Ce niveau de gouvernance ne tient ni face à un contrôle CNIL, ni face aux exigences de l'AI Act, ni face à une notification NIS 2 sous 24 heures. La bonne nouvelle, c'est que la trajectoire ne demande plus un projet de 18 mois : les fonctions IA des plateformes modernes — et des outils RGPD-natifs comme le nôtre — permettent désormais d'aller du registre statique à la cartographie vivante en quelques semaines, à condition de commencer par un audit RGPD honnête et un cadre d'accountability documenté.

Sources : Silicon — Benchmarks de l'IT 2026 : Plateformes de gouvernance & gestion des données · MarketsandMarkets, 2025 · IDC France, 2025 · IAPP — Bilan amendes RGPD 2025