Répression sur la confidentialité de l’IA : 61 autorités réglementaires s’attaquent aux risques liés à l’IA générative

Il aura fallu un scandale de deepfake pour faire céder le barrage.

Le 23 février 2026, les autorités de protection des données de 61 juridictions à travers le monde ont publié une déclaration conjointe adressant un message sans détour à toutes les entreprises qui développent, déploient ou tirent profit de l’IA générative : cessez de reproduire des personnes réelles sans leur consentement, sous peine d’en subir les conséquences.

Résumé des points clés

1. 61 juridictions s’alignent sur l’application de la protection des données liée à l’IA—instaurant de fait une norme mondiale. Le 23 février 2026, les autorités de protection des données de 61 juridictions ont publié une déclaration conjointe sur les images générées par l’IA via la Global Privacy Assembly, avertissant les fournisseurs d’IA générative contre la création ou la diffusion de contenus reproduisant de façon réaliste des personnes identifiables sans leur consentement. Il ne s’agit pas d’une action réglementaire isolée, mais d’un alignement mondial coordonné sur les attentes en matière de protection des données liées à l’IA. La déclaration vise tout particulièrement les images intimes non consenties, les deepfakes et les risques d’exploitation des enfants et groupes vulnérables. Pour les organisations qui gèrent des données sensibles dans des écosystèmes complexes de partenaires, cela confirme que la gouvernance de l’IA est avant tout un défi de gouvernance des données. Kiteworks répond directement à cette problématique : une plateforme unifiée qui régit les communications de contenu sensible via la messagerie électronique, le partage et le transfert de fichiers, SFTP, formulaires web et API, avec une application centralisée des règles et un journal d’audit consolidé retraçant chaque interaction, quel que soit le canal ou la frontière organisationnelle—de quoi prouver la conformité lors d’un contrôle de n’importe laquelle de ces 61 juridictions.
2. Les lois existantes sur la protection de la vie privée encadrent déjà l’IA—les régulateurs n’attendent plus de nouveaux textes. La déclaration conjointe rappelle que le RGPD, le CCPA, le Data Protection Act britannique, la LGPD brésilienne et des dizaines d’autres lois sur la vie privée s’appliquent déjà aux données d’entraînement et aux résultats générés par l’IA. Les régulateurs n’élaborent pas de nouveaux cadres : ils affirment leur pouvoir d’application sur la base des textes existants. Les organisations sont donc exposées à des risques de non-conformité immédiats, et non à une incertitude réglementaire future. Les entreprises d’IA qui traitent des images personnelles sans consentement font déjà l’objet d’enquêtes, avec des sanctions RGPD pouvant atteindre 4 % du chiffre d’affaires mondial. Kiteworks fournit l’infrastructure de conformité nécessaire dès aujourd’hui : des modèles de conformité préconfigurés alignés sur NIST, ISO 27001, SOC 2, CMMC, HIPAA, RGPD, NIS 2 et plus de 50 autres référentiels—avec une application des règles en temps réel, et non de simples audits documentaires ponctuels laissant des écarts entre vos politiques et la réalité de vos systèmes.
3. Les données biométriques et images personnelles font désormais l’objet d’une vigilance réglementaire maximale. La déclaration des autorités précise que les reproductions réalistes de personnes identifiables générées par l’IA déclenchent des exigences strictes : consentement, minimisation des données, limitation de la finalité. Selon l’article 9 du RGPD, les images faciales et identifiants biométriques sont des données sensibles nécessitant un consentement explicite et des mesures renforcées. Le scandale Grok qui a précédé cette déclaration a illustré les conséquences de l’absence de ces protections : génération industrielle d’images sexualisées non consenties, enquêtes menées par la DPC irlandaise, l’ICO britannique, le parquet français et des régulateurs asiatiques. Le Data Policy Engine de Kiteworks applique des contrôles d’accès basés sur les attributs, évaluant la sensibilité des données, l’identité de l’utilisateur et la finalité avant d’accorder l’accès—bloquant automatiquement l’accès de l’IA aux données biométriques, images d’enfants et autres données sensibles sauf si toutes les garanties sont réunies. Il s’agit d’une gouvernance des données consciente du consentement, intégrée à l’infrastructure, et non d’une simple case à cocher pour la conformité.
4. La responsabilité des entreprises concerne toute organisation qui déploie l’IA—pas seulement les fournisseurs qui la développent. La déclaration vise à la fois les fournisseurs d’IA et les entreprises qui déploient l’IA générative pour le marketing, les RH, les fonctionnalités produits ou la relation client. Si votre organisation utilise un outil d’IA générative qui reproduit des personnes identifiables sans consentement, vous partagez la responsabilité—quel que soit le fournisseur du modèle. Selon le Data Security Index 2026 de Microsoft, 32 % des incidents de sécurité des données impliquent déjà des outils d’IA générative. Le risque d’application de la réglementation s’accroît : une action coordonnée expose les entreprises et leurs clients à des contrôles simultanés de plusieurs autorités. Kiteworks propose une gouvernance des données indépendante du fournisseur : que vous utilisiez OpenAI, Anthropic, Google ou des modèles internes, Kiteworks applique des règles cohérentes de consentement, limitation de la finalité et minimisation des données, avec des journaux d’audit détaillés prouvant quelles données chaque système d’IA a consultées et quelles garanties étaient en place lors des contrôles.
5. Le privacy-by-design pour l’IA devient une obligation réglementaire—et non plus un simple objectif. La déclaration exige que les entreprises intègrent les garanties dès la conception des systèmes : mécanismes de consentement, minimisation des données, processus de suppression accessibles, canaux de signalement—et non une conformité ajoutée après coup. Cela s’inscrit dans la tendance réglementaire globale : l’AI Act européen sera pleinement applicable aux systèmes à haut risque en août 2026, l’AI Act du Colorado entrera en vigueur en juin 2026, et la Californie impose déjà la transparence sur les données d’entraînement. Le rapport international sur la sécurité de l’IA 2026 confirme que les deepfakes deviennent plus réalistes et difficiles à détecter, les contenus ciblant de façon disproportionnée les femmes et les filles. Pour prévenir les dérives de l’IA, il faut contrôler les données en entrée. Kiteworks applique ce principe au niveau des données : blocage de l’accès de l’IA aux images susceptibles de permettre des deepfakes non consentis ou l’usurpation d’identité, validation humaine obligatoire pour les accès à haut risque, et architecture d’appliance virtuelle durcie—avec double chiffrement au repos, TLS 1.3 en transit, chiffrement validé FIPS 140-3 et clés de chiffrement détenues par le client—garantissant que le privacy-by-design est opérationnel, et non théorique.

Il ne s’agit pas d’une simple recommandation d’un régulateur isolé dans un rapport. C’est une position d’application coordonnée de la part des autorités de protection des données de l’Union européenne, du Royaume-Uni, d’Asie, des Amériques et d’ailleurs—toutes s’accordant sur un point : les lois existantes sur la vie privée s’appliquent déjà à l’IA, et elles n’attendent plus de nouveaux textes pour les faire respecter.

Le calendrier n’a rien d’anodin. Cette déclaration intervient dans le sillage de l’un des scandales d’IA les plus choquants à ce jour—et ses répercussions redéfinissent la façon dont les gouvernements, les entreprises et les particuliers perçoivent les usages réels de l’IA générative.

Le scandale Grok qui a mis le feu aux poudres

Pour comprendre pourquoi 61 régulateurs ont agi de concert, il faut revenir à la fin décembre 2025.

Des utilisateurs de la plateforme X ont découvert qu’ils pouvaient demander au chatbot Grok intégré de déshabiller numériquement des personnes sur des photos—plaçant femmes et filles en bikini transparent, lingerie ou pire. Grok s’exécutait sans hésiter. La société d’analyse Copyleaks a constaté que le chatbot générait environ une image sexualisée non consentie par minute, publiée directement sur X où elle pouvait devenir virale. Une analyse de 20 000 images générées par Grok a révélé qu’environ 2 % semblaient représenter des mineurs. L’ONG parisienne AI Forensics a retrouvé des contenus montrant des enfants très jeunes dans des situations sexuelles photoréalistes.

La réaction mondiale a été immédiate et massive. La Data Protection Commission irlandaise a lancé une enquête RGPD d’envergure. Le parquet français a perquisitionné les bureaux parisiens de X. L’Information Commissioner’s Office britannique a ouvert des enquêtes formelles sur X et xAI. La Malaisie, l’Indonésie et les Philippines ont purement et simplement interdit le chatbot. L’Inde a ordonné une révision complète. Trente-cinq procureurs généraux américains ont exigé que xAI mette fin aux deepfakes sexuels. Les plaintes se sont multipliées—dont celle de la mère de l’un des enfants de Musk, affirmant que Grok continuait à générer des images explicites d’elle malgré son refus explicite.

L’affaire Grok n’a pas créé l’urgence réglementaire autour des images générées par l’IA. Mais elle a offert aux régulateurs un exemple flagrant et incontestable des conséquences d’une gestion laxiste des garanties. Et elle a accéléré un mouvement déjà en marche : le consensus mondial selon lequel les règles existent déjà. Il ne reste plus qu’à les appliquer.

Que dit réellement la déclaration conjointe ?

La déclaration du 23 février, coordonnée par la Global Privacy Assembly, énonce des principes que toute organisation travaillant avec l’IA générative devrait considérer comme incontournables. Les autorités réclament un renforcement de la protection des enfants, des procédures accessibles et efficaces pour demander le retrait de contenus préjudiciables, des garanties accrues contre l’utilisation abusive des données personnelles dans les systèmes d’IA, ainsi qu’une transparence réelle sur le fonctionnement et les capacités de ces systèmes.

Mais l’essentiel réside dans ce que les régulateurs n’ont pas dit. Ils n’ont pas proposé de nouvelles lois. Ils n’ont pas soumis de nouveaux cadres à consultation. Ils ont réaffirmé que l’arsenal juridique permettant d’encadrer l’IA existe déjà—via le RGPD, le CCPA, le Data Protection Act britannique, la LGPD brésilienne et de nombreuses autres lois nationales et régionales. Le message : inutile d’attendre de nouveaux textes pour agir. Nous avons déjà l’autorité. Et nous l’exerçons.

C’est un changement de paradigme. Pendant des années, la gouvernance de l’IA s’est résumée à débattre de la nécessité d’une réglementation spécifique et de sa forme. L’AI Act européen, l’AI Act du Colorado, les lois californiennes sur la transparence de l’IA—tous ces textes sont importants. Mais les 61 régulateurs viennent de trancher : pendant que les législateurs débattent, les autorités de protection des données agissent, ici et maintenant.

Pourquoi l’enjeu dépasse largement les deepfakes

On pourrait croire qu’il s’agit d’une répression ciblée des contenus explicites générés par l’IA. Ce serait une erreur.

Les principes énoncés par les régulateurs—consentement, minimisation des données, limitation de la finalité, transparence—s’appliquent à tout système d’IA traitant des données personnelles. La déclaration conjointe a donc des répercussions bien au-delà des deepfakes et concerne quasiment tous les déploiements d’IA en entreprise aujourd’hui. Outils de recrutement analysant les photos ou profils sociaux des candidats. Plateformes marketing générant des contenus personnalisés à partir d’images clients. Systèmes de sécurité utilisant la reconnaissance faciale sur les employés ou visiteurs. IA médicale traitant des images de patients. Outils financiers utilisant des photos pour la vérification d’identité. À chaque fois, la question centrale demeure : la personne concernée a-t-elle consenti à cet usage précis de ses données par l’IA, et le traitement s’est-il limité à ce qui était nécessaire à la finalité annoncée ?

Le rapport international sur la sécurité de l’IA 2026 a confirmé cette tendance, documentant la multiplication des usages abusifs de l’IA générative dans la fraude, les arnaques, le chantage et la production d’images intimes non consenties. Le rapport souligne que les deepfakes générés par l’IA deviennent plus réalistes et difficiles à détecter, les femmes et les filles étant particulièrement ciblées. Ce n’est pas un risque futur. Cela se produit déjà, à grande échelle, dans tous les secteurs.

Le piège de la responsabilité qui guette la plupart des entreprises

C’est là que la situation devient inconfortable pour les organisations qui pensent que le problème ne les concerne pas.

La déclaration conjointe ne vise pas que les fournisseurs d’IA. Elle cible aussi les entreprises qui la déploient. Si vous avez intégré un outil d’IA générative à vos processus marketing, RH, produits ou service client, et que cet outil reproduit des personnes identifiables sans consentement, vous partagez la responsabilité. Selon le RGPD, les responsables du traitement—ceux qui déterminent les finalités et moyens du traitement—doivent garantir la conformité, quels que soient les outils utilisés. Si votre équipe marketing utilise une plateforme d’IA pour générer des visuels de campagne et que celle-ci produit le portrait réaliste d’une personne réelle issue des données d’entraînement, votre organisation est responsable. Pas seulement le fournisseur d’IA.

La même logique s’applique au CCPA et à ses équivalents. Selon l’article 9 du RGPD, les images faciales et identifiants biométriques sont des données sensibles nécessitant un consentement explicite et des garanties renforcées. Les amendes peuvent atteindre 4 % du chiffre d’affaires mondial. Le Data Security Index 2026 de Microsoft indique que 32 % des incidents de sécurité des données impliquent déjà des outils d’IA générative, et près de la moitié des responsables sécurité mettent en place des contrôles spécifiques à l’IA. L’écart entre la réalité des entreprises et les attentes des régulateurs se réduit rapidement—sous l’impulsion des autorités.

Ce que les RSSI et DPO doivent faire dès maintenant

Si vous déployez une quelconque forme d’IA générative, les attentes réglementaires de la déclaration conjointe se traduisent par des exigences opérationnelles concrètes, à mettre en œuvre sans délai.

Auditez vos sources de données d’entraînement IA. Les régulateurs vont examiner de plus en plus en détail l’origine des données d’entraînement, le recueil du consentement et l’application de la minimisation des données. Si vous utilisez des outils IA tiers, exigez la transparence sur la provenance des données d’entraînement. Si vous entraînez vos propres modèles, documentez tout. Les journaux d’audit détaillés de Kiteworks enregistrent chaque interaction avec les données, offrant la traçabilité désormais exigée pour la gouvernance des données d’entraînement IA.

Mettez en place un accès aux données tenant compte du consentement. Les clauses générales du type « nous pouvons utiliser vos données pour l’IA » dans les politiques de confidentialité ne résisteront pas à l’examen des régulateurs. Le consentement doit être spécifique à chaque cas d’usage IA. Un consentement pour des recommandations produits n’autorise pas automatiquement la génération d’images marketing. Et en cas de retrait du consentement, l’accès de l’IA à ces données doit être immédiatement bloqué. Kiteworks s’intègre aux plateformes de gestion du consentement pour appliquer un accès aux données tenant compte du consentement—l’IA ne peut accéder qu’aux données pour lesquelles la personne a explicitement consenti à ce traitement précis.

Appliquez la limitation de la finalité au niveau des données. Les systèmes IA ne doivent pas avoir accès à toutes les données disponibles sous prétexte que c’est techniquement possible. Limitez l’IA au strict nécessaire pour chaque finalité autorisée. C’est crucial pour les catégories sensibles comme les données biométriques, les images d’enfants et les données de santé. Kiteworks applique la limitation de la finalité et la minimisation des données au niveau de l’infrastructure—empêchant le scraping massif en restreignant l’accès des systèmes d’entraînement IA à des classifications et finalités précises.

Constituez vos journaux d’audit dès maintenant, pas après le début d’une enquête. Lorsqu’une autorité de protection des données vous sollicitera—et la coordination de cette déclaration rend ce scénario probable—vous devrez prouver quelles données votre IA a consultées, quel consentement était en vigueur à ce moment-là, et quelles garanties étaient appliquées. Kiteworks fournit un journal d’audit consolidé retraçant chaque interaction sur tous les canaux, générant automatiquement les registres de traitement RGPD (article 30), DPIA pour les usages IA à risque, et notifications de violation—pour que la preuve existe avant même d’en avoir besoin.

Contrôlez les données en entrée, pas seulement les résultats. La déclaration conjointe vise à prévenir les dérives à la source, pas à corriger les problèmes après coup. Contrôler ce à quoi l’IA peut accéder est plus efficace que de filtrer chaque résultat. C’est la différence entre verrouiller l’armoire à pharmacie et espérer qu’un enfant fasse les bons choix. Kiteworks bloque l’accès de l’IA aux images susceptibles de permettre des deepfakes non consentis ou l’usurpation d’identité, avec une application des règles en temps réel évaluant en continu les demandes d’accès IA selon le consentement, la finalité et le risque.

Étendez la gouvernance à tous vos fournisseurs IA. Que vous utilisiez OpenAI, Google, un modèle open source ou une solution interne, vos règles de gouvernance des données doivent s’appliquer partout. Les écarts de conformité entre outils IA sont un risque juridique majeur. Kiteworks applique une gouvernance indépendante du fournisseur avec des règles cohérentes sur tous les systèmes IA déployés—aucune faille, aucune zone d’ombre.

La trajectoire réglementaire : à quoi s’attendre ensuite

La déclaration du 23 février marque un point de départ, pas une fin. Plusieurs tendances indiquent que l’application de la réglementation va s’intensifier.

La coordination internationale s’accélère. Le fait que 61 juridictions s’alignent sur une même déclaration signifie que les entreprises risquent des enquêtes simultanées dans plusieurs pays. Un seul manquement peut déclencher des investigations dans des dizaines d’États. Les textes spécifiques à l’IA rattrapent la dynamique d’application. L’AI Act européen sera pleinement applicable aux systèmes à haut risque en août 2026. L’AI Act du Colorado entre en vigueur en juin 2026. La Californie impose déjà la transparence sur les données d’entraînement. L’État de New York a adopté des exigences de transparence pour la publicité impliquant des acteurs synthétiques et renforcé la protection des répliques numériques de personnes décédées. Ces nouvelles lois s’ajoutent à l’application des textes sur la vie privée déjà en cours.

Les données biométriques sont sous surveillance partout. Les protections spécifiques de l’article 9 du RGPD pour les images faciales sont appliquées de façon stricte dans les contextes IA. Des protections similaires existent dans l’Illinois (BIPA), au Texas (CUBI) et dans d’autres États américains. Si votre IA traite des visages, empreintes digitales ou empreintes vocales, le niveau d’exigence est bien plus élevé que pour d’autres données personnelles. L’Italie a déjà infligé une amende de 15 millions d’euros à OpenAI pour des violations RGPD liées au traitement des données d’entraînement—un précédent qui va encourager les régulateurs européens et au-delà.

La gouvernance de l’IA est un défi de gouvernance des données—et exige une solution de gouvernance des données

La déclaration coordonnée des 61 autorités de protection des données confirme ce que la communauté de la gouvernance des données affirme depuis des années : on ne gouverne pas l’IA en se concentrant sur les modèles. On gouverne l’IA en gouvernant les données auxquelles elle accède.

La plupart des outils de gouvernance IA se focalisent sur le comportement des modèles—filtrage des résultats, détection des biais, surveillance des hallucinations. C’est important. Mais cela ne traite que les symptômes, pas la cause. La déclaration des autorités le dit clairement : les violations commencent au niveau des données. Scraping d’images personnelles sans consentement. Entraînement sur des données biométriques sans base légale. Absence de minimisation des données collectées. Accès incontrôlé des systèmes IA à des contenus sensibles.

Kiteworks répond à ce défi en appliquant les principes de protection des données à la source : accès aux données tenant compte du consentement et intégré aux plateformes de gestion du consentement, limitation de la finalité restreignant l’IA à des classifications et usages autorisés, minimisation des données limitant l’accès IA au strict nécessaire pour les objectifs définis, et journaux d’audit détaillés prouvant quelles données l’IA a consultées, quel consentement était en vigueur et quelles garanties étaient appliquées. Que vous déployiez l’IA générative pour le marketing, des outils RH, la reconnaissance faciale pour la sécurité ou tout autre usage, Kiteworks garantit la conformité de vos systèmes IA avec les exigences mondiales de protection des données—vous protégeant ainsi des enquêtes réglementaires qui ciblent désormais activement les déploiements IA.

L’ère où la gouvernance de l’IA était considérée comme un problème futur est révolue. Soixante et une autorités de protection des données viennent d’annoncer au monde que les règles existent déjà, que les outils d’application sont entre leurs mains, et que les enquêtes sont déjà en cours. Les entreprises qui abordent ce sujet comme un défi de gouvernance des données—en intégrant les contrôles dès la conception de l’accès et du traitement des données personnelles par l’IA—pourront agir sereinement à mesure que la pression réglementaire s’intensifie. Celles qui s’en désintéressent découvriront à leurs dépens que « nous ne savions pas » n’est plus une excuse recevable depuis que 61 régulateurs leur ont signifié le contraire.

La question n’est pas de savoir si vos systèmes IA seront contrôlés. La question est de savoir si vous serez prêt quand ce sera le cas.