Shadow AI, RGPD et AI Act : pourquoi l'adoption IA sans gouvernance est le vrai risque de 2026

25/6/26
👈 les autres actualités

Le paradoxe de l'adoption : des bénéfices attendus, une industrialisation en retard

74 % des entreprises qui ont adopté l'IA générative déclarent un retour sur investissement positif. Et pourtant, entre 5 et 7 % seulement parviennent à en tirer des bénéfices financiers véritablement significatifs et généralisés — c'est l'un des enseignements de la dernière étude McKinsey relayée par Silicon.fr. Cet écart entre expérimentation et industrialisation ne tient pas à la technologie elle-même. Il tient à ce qui l'entoure : une gouvernance insuffisante, une adoption non maîtrisée, et un angle mort réglementaire qui laisse exposées des millions de données personnelles.

Ce qui se passe vraiment : l'essor du shadow AI

Derrière les chiffres flatteurs de l'adoption de l'IA, une réalité moins reluisante. Les collaborateurs utilisent massivement des outils non validés par leur DSI ou leur DPO : ChatGPT, Copilot, des outils de transcription, des assistants de codage. Des données confidentielles — données clients, contrats, informations RH, données de santé — transitent chaque jour par des services tiers dont les conditions de traitement n'ont jamais été évaluées.

L'EDPS a tiré la sonnette d'alarme sur précisément ce phénomène : le shadow AI expose les organisations à des violations du RGPD qui restent dans l'angle mort parce que les traitements ne sont pas inventoriés, aucune analyse d'impact (AIPD) n'a été réalisée et aucun contrat de sous-traitance (article 28 RGPD) ne couvre ces usages. Le responsable de traitement est pourtant entièrement responsable.

Pourquoi la majorité des entreprises n'industrialise pas l'IA

Silicon.fr identifie trois freins récurrents qui expliquent le fossé entre expérimentation et passage à l'échelle : le manque de données de qualité, l'absence de sponsor métier, et une gouvernance insuffisante. C'est ce troisième frein qui intéresse le plus les DPO et les juristes — car une IA générative déployée sans cadre de gouvernance expose l'entreprise sur deux fronts simultanément : la violation du RGPD aujourd'hui, et l'anticipation insuffisante de l'AI Act demain.

Beaucoup d'organisations multiplient les preuves de concept sans jamais passer à l'échelle. Les gains restent locaux, difficilement mesurables sur l'EBIT — et les risques, eux, s'accumulent silencieusement.

Ce que le RGPD impose déjà — maintenant

Contrairement à l'AI Act, dont les obligations sur les systèmes à haut risque ont été reportées à fin 2027 et 2028, le RGPD est pleinement applicable. Pour les DPO, l'adoption de l'IA en entreprise déclenche des obligations immédiates :

Registre de traitement (article 30) : chaque outil IA qui traite des données personnelles doit figurer au registre, avec finalité, base légale, catégories de données et sous-traitants identifiés. La plupart des déploiements shadow AI ne figurent nulle part.

Contrat de sous-traitance (article 28) : si l'IA générative est fournie par un tiers et traite des données pour le compte de l'entreprise, un DPA (Data Processing Agreement) doit encadrer le traitement. Les conditions générales des outils grand public ne valent pas DPA.

Analyse d'impact (article 35) : tout traitement susceptible d'engendrer un risque élevé pour les personnes — profiling, décisions automatisées, traitement à grande échelle — exige une AIPD préalable au déploiement.

Base légale : le recours à l'IA pour des décisions RH, du ciblage commercial ou de l'analyse de données clients suppose d'identifier une base légale solide. Le consentement est rarement adapté en contexte professionnel.

Ce que l'AI Act impose demain — mais qu'il faut anticiper dès aujourd'hui

Le calendrier a été repoussé par le Digital Omnibus : les obligations relatives aux systèmes IA à haut risque de l'Annexe III ne s'appliqueront pas avant décembre 2027. Mais le travail de cartographie doit commencer maintenant. L'AI Act distingue quatre niveaux de risque, et plusieurs usages courants en entreprise tombent dans la catégorie haute : recrutement algorithmique, scoring de crédit, outils d'évaluation des performances salariées, systèmes de surveillance en temps réel.

Une gouvernance IA durable — s'appuyant sur un référentiel comme l'ISO 42001 — permet à la fois de répondre aux exigences RGPD actuelles et de poser les bases pour l'AI Act. C'est le même programme, pas deux chantiers séparés. Et comme le rappelle une tribune Silicon.fr du 4 juin 2026, le RSSI ne peut plus porter seul la gouvernance de l'IA : DPO, directions métiers et juristes doivent partager la responsabilité.

Ce que Leto pense de cette tendance

Le paradoxe du 5-7 % révèle quelque chose d'essentiel : l'IA ne se gouverne pas différemment de n'importe quel autre traitement de données — elle se gouverne mieux. Les organisations qui réussissent à industrialiser l'IA ne sont pas celles qui ont choisi le bon modèle, mais celles qui ont investi dans des règles d'usage claires, des contrats solides et une formation sérieuse des équipes. L'adoption sans gouvernance n'est pas un raccourci. C'est une dette de conformité qui se rembourse tôt ou tard — souvent lors d'un contrôle ou d'une violation de données.

Sources : Silicon.fr — Utiliser l'IA en entreprise : un levier de productivité à cadrer

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026