IA en entreprise : pourquoi le RSSI ne peut plus être le seul responsable du risque

4/6/26
👈 les autres actualités

La généralisation des outils d'intelligence artificielle dans les entreprises pose une question de gouvernance que les directions ne peuvent plus éviter : qui est responsable quand l'IA déraille ? En pratique, la réponse ne peut plus être « le RSSI seul ».

Ce qui s'est passé

Une tribune publiée sur Silicon.fr le 4 juin 2026 dresse un constat sans détour : l'IA s'est déployée dans les entreprises bien plus vite que les capacités organisationnelles à l'encadrer. Assistants conversationnels, automatisation documentaire, analyse prédictive, copilotes métiers — ces outils sont aujourd'hui présents dans tous les secteurs, souvent sans cadre de gouvernance structuré.

Le problème central identifié par les experts : les entreprises continuent de traiter l'IA comme un simple sujet technologique ou cyber, alors qu'il s'agit avant tout d'une transformation globale. Par réflexe organisationnel, c'est le RSSI qui hérite du dossier. Or la gouvernance de l'IA implique bien d'autres acteurs : directions métiers, fonctions juridiques, ressources humaines, conformité, DSI et instances dirigeantes.

Pourquoi c'est important

L'enjeu dépasse largement la cybersécurité. Les risques liés à l'IA touchent à des dimensions multiples : confidentialité des données, propriété intellectuelle, responsabilité des décisions automatisées, éthique et réputation. Autant de sujets que le RSSI n'a ni le mandat ni l'expertise pour traiter seul.

Ce diagnostic arrive à un moment clé : l'AI Act européen commence à s'appliquer, avec des obligations de gouvernance spécifiques selon le niveau de risque des systèmes d'IA déployés. Les entreprises qui n'ont pas encore structuré leur gouvernance IA risquent de se retrouver en infraction — non pas par mauvaise volonté, mais par défaut de pilotage collectif.

Les chiffres confirment l'urgence : une étude récente de la Cloud Security Alliance révèle que 65 % des organisations ont déjà subi un incident lié à un agent IA, souvent à cause d'usages non déclarés déployés en dehors de tout cadre officiel — le fameux Shadow AI. Cette réalité illustre précisément ce que la tribune pointe : quand la gouvernance n'est pas collective, les risques s'accumulent hors du radar du RSSI.

Ce que ça change pour les organisations

La tribune formule un constat partagé par de nombreux praticiens : interdire les outils d'IA est une illusion. Les organisations qui choisissent une approche uniquement restrictive voient les usages se déplacer hors de tout cadre officiel. L'enjeu n'est donc plus de bloquer, mais d'organiser.

Concrètement, cela implique plusieurs chantiers prioritaires :

Partager la responsabilité de la gouvernance IA. Le RSSI doit être un acteur parmi d'autres, pas le seul porteur du risque. DPO, juristes, RH, directions métiers et comité de direction doivent siéger ensemble autour de la table de gouvernance IA.

Mettre en place une politique IA claire. Quels outils sont autorisés ? Avec quelles données ? Pour quels usages ? Ces questions doivent recevoir des réponses documentées et connues de tous. Les modules de sensibilisation IA adaptés aux équipes deviennent un préalable indispensable.

Classifier les données exploitables. Tous les actifs de données ne peuvent pas alimenter des outils d'IA de la même manière. Une cartographie rigoureuse évite les fuites, les traitements illicites et les violations du RGPD.

Intégrer l'IA dans le modèle de risque global. Comme l'illustre l'alerte conjointe ANSSI/CERT sur les outils d'IA agentique, certains risques techniques doivent être intégrés au PSSI et traités en lien direct avec les équipes sécurité — mais dans un cadre piloté collectivement.

Pour les DPO, ce mouvement vers la gouvernance collective de l'IA est une opportunité de repositionnement stratégique. La feuille de route du RIA présentée au Club DPO fin 2025 avait déjà balisé ce terrain : le DPO est naturellement positionné pour animer cette gouvernance transversale, notamment sur les aspects traitement des données et conformité réglementaire.

Ce que Leto pense de cette décision

La tribune de Silicon.fr dit à voix haute ce que beaucoup de praticiens observent sur le terrain depuis deux ans : la gouvernance de l'IA ne peut pas fonctionner en silos. Le modèle « RSSI = responsable IA » est un héritage du temps où l'IA restait confinée aux équipes tech. Ce temps est révolu.

Pour les organisations, l'urgence est de construire des instances de gouvernance IA qui associent vraiment toutes les fonctions concernées — avec une attention particulière pour le DPO, dont le rôle de garant de la conformité des traitements est central. L'AI Act va accélérer cette transformation. Autant commencer maintenant.

Sources : Silicon.fr — IA en entreprise : pourquoi les RSSI ne peuvent plus porter seuls le risque

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026