20 États, aucune loi fédérale et une hausse des coûts de 40 %

Les États-Unis comptent désormais plus de 20 lois étatiques majeures en matière de protection des données personnelles, la SB 546 de l’Oklahoma — la plus récente — devant entrer en vigueur en 2027. Pendant ce temps, l’American Privacy Rights Act (APRA) reste bloquée au Congrès, obligeant les organisations à naviguer entre des définitions de périmètre, des droits des consommateurs, des mécanismes d’application et des délais de remédiation différents selon chaque juridiction où elles opèrent.

Résumé des points clés

1. Le patchwork américain de lois sur la vie privée couvre désormais plus de 20 textes — et aucune solution fédérale n’est en vue. Les organisations dépensent 30 à 40 % de plus pour la conformité à la protection des données qu’en 2023, et les coûts continuent d’augmenter.
2. L’application du RGPD a atteint 7,1 milliards d’euros d’amendes cumulées, dont 1,2 milliard d’euros infligés rien qu’en 2025. Les régulateurs enregistrent 443 notifications de violation par jour — soit une hausse de 22 % sur un an.
3. L’AI Act de l’UE impose une gouvernance des données à laquelle la plupart des organisations ne sont pas prêtes. La traçabilité des données d’entraînement, la surveillance des biais et la limitation de finalité pour les systèmes à haut risque sont désormais des obligations légales, et non plus de simples bonnes pratiques.
4. Les transferts de données à l’international subissent les restrictions les plus strictes depuis dix ans. De nouvelles règles américaines sanctionnent les transferts négociés vers des « pays à risque » par des amendes pouvant atteindre 368 136 $ par infraction — ou 20 ans de prison en cas d’infraction délibérée.
5. Les organisations qui considèrent la protection des données comme une simple case à cocher en matière de conformité sont distancées par celles qui l’intègrent dans leur architecture. La convergence du RGPD, de DORA, de l’AI Act de l’UE et de la multiplication des lois étatiques impose une gouvernance unifiée — et non un énième classeur de politiques internes.

L’impact financier est bien réel. Selon l’analyse « Data Privacy in 2026 » de VantagePoint, les organisations dépensent aujourd’hui 30 à 40 % de plus pour la conformité à la protection des données qu’en 2023. Les principaux facteurs de coût sont structurels : analyse juridique État par État, adaptation du consentement selon la juridiction, et gestion des demandes d’accès aux données (DSAR) qui doivent respecter des délais et exigences différents selon le lieu de résidence de la personne concernée.

Ce n’est pas un problème que l’on résout en embauchant plus d’avocats. C’est un problème d’architecture. Les organisations qui continuent à traiter la protection des données comme un exercice politique juridiction par juridiction se créent une ligne de dépense qui augmente linéairement à chaque nouvelle loi étatique. Celles qui construisent des plateformes de gouvernance unifiée — où un moteur de politique, une piste d’audit et un cadre de consentement s’adaptent à toutes les juridictions — transforment ce coût en avantage concurrentiel.

Le rapport ISACA State of Privacy 2026 met en lumière la pression : les équipes privacy se réduisent (l’effectif médian est passé de huit à cinq en un an), les profils techniques sont difficiles à recruter et 54 % des professionnels de la protection des données identifient la compréhension des lois applicables comme un manque de compétences majeur. Moins de personnes, plus de lois, des coûts en hausse. Cette équation ne peut que mal finir.

L’application du RGPD atteint 7,1 milliards d’euros — et l’accélération se poursuit

Depuis 2018, les amendes cumulées du RGPD atteignent 7,1 milliards d’euros, dont 1,2 milliard d’euros infligés rien qu’en 2025. Les notifications de violation atteignent 443 par jour en 2025 — soit une hausse de 22 % par rapport à l’année précédente. Il ne s’agit pas d’une courbe de maturité de l’application, mais bien d’une accélération.

La géographie des sanctions raconte une histoire tout aussi importante. L’Irlande arrive en tête avec 4,04 milliards d’euros d’amendes, principalement en raison de la sanction de 1,2 milliard d’euros infligée à Meta pour transfert de données — la plus importante jamais prononcée dans le cadre du RGPD. TikTok a écopé d’une amende de 530 millions d’euros pour des transferts de données vers la Chine. La CNIL française a infligé 486,8 millions d’euros d’amendes en 2025, ciblant fréquemment les cookies, la surveillance des salariés et les défaillances de sécurité des données.

Ce qui a changé, ce n’est pas seulement le montant des amendes, mais aussi ce qui les déclenche. L’analyse de VantagePoint met en avant un tournant majeur : les régulateurs sanctionnent de plus en plus les carences structurelles en matière de contrôle — gestion des fournisseurs défaillante, absence de chiffrement, journalisation insuffisante — au lieu d’attendre qu’une violation se produise. Le rapport prévisionnel 2026 de Kiteworks sur la sécurité des données et les risques de conformité a documenté la même tendance : l’application passe de « ce qui s’est passé » à « quels contrôles manquaient au moment des faits ».

L’analyse de VantagePoint identifie également sept échecs courants en matière de protection des données qui déclenchent désormais systématiquement des sanctions : collecte excessive de données personnelles, consentement flou ou groupé, gestion des fournisseurs insuffisante, négligence de la protection des données des salariés, faiblesse des garanties pour les transferts internationaux, traitement de la privacy comme un projet ponctuel, et incapacité à industrialiser la gestion des DSAR. Chacune de ces failles est structurelle, indépendante de toute violation spécifique — et chacune est désormais dans le viseur des régulateurs.

Pour les organisations opérant dans l’UE, la conclusion est claire. Les preuves de conformité — pistes d’audit exportables, données de surveillance continue, et démonstration de l’application des contrôles — sont désormais la monnaie réglementaire. Une politique de confidentialité bien rédigée mais non vérifiable par des données opérationnelles devient un risque, pas une protection.

L’AI Act de l’UE fait de la gouvernance des données une obligation légale

L’AI Act de l’UE entre en vigueur progressivement jusqu’en 2026, et ses exigences en matière de gouvernance des données comptent parmi les dispositions les plus impactantes pour les équipes de sécurité des entreprises. Les systèmes d’IA à haut risque — utilisés notamment pour le recrutement, le scoring de crédit, la souscription d’assurance ou la santé — sont désormais soumis à des obligations de gouvernance des données, de surveillance des biais et de documentation de la transparence.

Trois exigences se démarquent. La limitation de finalité signifie que le consentement obtenu pour une fonction — par exemple, la fourniture d’un service — ne s’étend pas automatiquement à l’entraînement d’un modèle d’IA sur ces mêmes données. Les organisations doivent définir des bases légales distinctes ou fournir des notifications explicites. Le droit à l’effacement face aux modèles entraînés pose un problème que la plupart des organisations n’ont pas résolu : une fois que des données personnelles ont servi à entraîner un modèle, honorer une demande d’effacement au titre de l’article 17 du RGPD ou du CCPA devient techniquement complexe et juridiquement flou. Le rapport prévisionnel de Kiteworks révèle que 78 % des organisations ne peuvent pas valider les données avant leur entrée dans les pipelines d’entraînement, et 53 % ne peuvent pas récupérer les données d’entraînement après un incident. La documentation des biais et de l’équité impose d’enregistrer la composition et la qualité des données d’entraînement, avec des obligations explicites de surveillance pour les déploiements à haut risque.

La pression sectorielle s’ajoute à cela. Les entreprises de services financiers doivent concilier les conseils et décisions pilotés par l’IA avec les exigences du GLBA et les règles de divulgation de la SEC. Les acteurs de la santé qui déploient l’IA pour l’aide à la décision clinique se heurtent aux contraintes de l’HIPAA et aux lois étatiques sur la confidentialité des données de santé. Les compagnies d’assurance font face à de nouvelles règles d’équité algorithmique qui imposent l’explicabilité et des tests de discrimination.

Les organisations non directement concernées par l’AI Act de l’UE ne doivent pas l’ignorer. Le rapport prévisionnel de Kiteworks montre que les organisations hors du champ d’application de la loi accusent un retard de 22 à 33 points sur tous les grands contrôles de gouvernance de l’IA. L’AI Act n’est pas qu’une réglementation européenne — il devient la référence mondiale de la gouvernance de l’IA digne de ce nom.

Les transferts de données à l’international sous triple pression

Les transferts de données à l’international subissent des pressions inédites depuis dix ans. Le Data Privacy Framework UE–États-Unis reste en vigueur mais fait l’objet de contestations juridiques. De nouvelles règles américaines, applicables entre 2025 et 2026, restreignent les transferts négociés vers des « pays à risque », avec des sanctions civiles allant jusqu’à 368 136 $ par infraction et jusqu’à 20 ans de prison en cas d’infraction délibérée. Le National Defense Authorization Act pour l’exercice 2026 ajoute des exigences sur les investissements sortants et la sécurité des flux de données, complexifiant encore les accords de partage transfrontaliers.

L’analyse de VantagePoint qualifie cela de « triple pression » : les régulateurs européens resserrent les mécanismes de transfert, les régulateurs américains limitent les flux sortants vers les nations adverses, et les gouvernements nationaux imposent la localisation des données. Le rapport 2026 de Kiteworks sur la souveraineté des données a quantifié l’impact opérationnel : une organisation sur trois a signalé un incident de souveraineté des données au cours des 12 derniers mois, dont environ 17 % impliquaient des violations avec des conséquences en matière de souveraineté et 12 % des transferts transfrontaliers non autorisés.

Pour les organisations internationales, cela signifie que les analyses d’impact sur les transferts, les clauses contractuelles types et les contrôles de résidence des données ne sont plus de simples exercices de conformité, mais des exigences opérationnelles nécessitant une application architecturale — et non une simple documentation. Les organisations incapables de prouver où résident les données, comment les accès sont gérés et comment les mouvements transfrontaliers sont empêchés ou documentés s’exposent à des sanctions simultanées de plusieurs juridictions. Le rapport sur la souveraineté des données de Kiteworks indique qu’environ 72 % des répondants américains et 66 % des Canadiens considèrent la souveraineté des données comme critique pour leurs opérations — mais la plupart n’ont pas encore l’infrastructure pour l’appliquer au niveau de la plateforme.

DORA, RGPD et convergence entre sécurité et protection des données

Le Digital Operational Resilience Act (DORA) s’applique depuis janvier 2025, imposant une gestion des risques IT, des obligations de reporting d’incidents, des tests de résilience et la gestion des risques liés aux tiers pour les institutions financières et leurs prestataires IT critiques. Combiné au RGPD, cela crée un environnement réglementaire où les opérations de sécurité et les programmes de protection des données ne peuvent plus fonctionner en silos organisationnels distincts.

L’analyse de VantagePoint présente cela comme la « convergence sécurité–privacy » — un changement structurel où la planification de la résilience IT, la détection des incidents et la notification des violations doivent explicitement prendre en compte la protection des données personnelles. La Privacy by Design n’est plus une simple recommandation. En vertu de l’article 25 du RGPD, de l’AI Act de l’UE et de nombreuses lois étatiques américaines, elle constitue une obligation légale. Cela implique d’intégrer les analyses d’impact privacy dans les revues d’architecture, d’appliquer par défaut des configurations protectrices (chiffrement, gestion des accès, pseudonymisation) dès la conception des systèmes, et non après leur déploiement.

L’analyse de VantagePoint met également en avant des échecs courants à l’intersection de la sécurité et de la privacy : collecte excessive de données, mécanismes de consentement flous ou groupés, gestion des fournisseurs défaillante, négligence de la protection des données des salariés et garanties transfrontalières insuffisantes. Chacun de ces points constitue à la fois un échec de conformité privacy et une faiblesse de posture de sécurité — et les régulateurs les évaluent en conséquence.

L’automatisation n’est plus une option dans ce contexte. L’analyse de VantagePoint affirme explicitement que les programmes privacy manuels ne sont pas scalables, et recommande l’automatisation de la gestion des consentements, du traitement des DSAR, des workflows de conservation et de suppression des données, des notifications de violation et des évaluations fournisseurs. La montée en puissance de la sensibilisation des consommateurs fait exploser le volume des DSAR, et les organisations sans workflows orchestrés risquent de manquer les délais légaux et de s’exposer à des sanctions. Le rapport 2025 de Kiteworks sur les formulaires de données a documenté cette pression tous secteurs confondus : 92 % des organisations interrogées doivent se conformer au RGPD, 58 % à la norme PCI DSS, 41 % à l’HIPAA et 37 % au CCPA/CPRA — souvent simultanément, et via les mêmes canaux d’échange de données.

Comment Kiteworks répond au défi de la convergence privacy–sécurité

Le paysage réglementaire décrit par VantagePoint, ISACA et les études propriétaires de Kiteworks converge vers une exigence architecturale unique : les organisations ont besoin d’une couche de gouvernance unifiée qui applique les contrôles privacy, les politiques de sécurité et la preuve de conformité sur tous les canaux où circulent des données sensibles.

Kiteworks fournit cette couche en tant que plan de contrôle pour les échanges de données sécurisés. Plutôt que de gérer la privacy via des outils déconnectés — un pour le chiffrement des e-mails, un autre pour le transfert de fichiers, un troisième pour les formulaires de données, un quatrième pour les intégrations IA — Kiteworks centralise la gouvernance dans un moteur de politique unique, un journal d’audit unique et une architecture de sécurité couvrant la messagerie électronique, le partage de fichiers, SFTP, MFT, API, formulaires de données et accès IA via son Secure MCP Server.

Pour la conformité RGPD et DORA, Kiteworks fournit des pistes d’audit en temps réel, exhaustives, sans perte ni délai — produisant les preuves exigées par les régulateurs. Les tableaux de bord de conformité préconfigurés sont directement alignés sur le RGPD, l’HIPAA, le CMMC et d’autres référentiels, transformant des mois de préparation d’audit en quelques heures.

Pour la gouvernance des données IA, Kiteworks applique un contrôle d’accès basé sur les attributs (ABAC) au niveau des données, garantissant que les agents IA — quel que soit le modèle ou le framework — n’accèdent qu’aux données pour lesquelles ils sont explicitement autorisés. Lier la finalité, limiter la durée d’accès et journaliser de façon infalsifiable comblent les failles de confinement identifiées par le rapport prévisionnel de Kiteworks dans 63 % des organisations.

Pour les contrôles de transfert à l’international, Kiteworks propose un déploiement cloud privé à locataire unique, des restrictions d’accès géographique et la gestion des clés de chiffrement dans la juridiction concernée — des fondations architecturales pour une souveraineté des données démontrable. Il ne s’agit pas d’une simple déclaration de conformité, mais d’un contrôle vérifiable.

Ce que doivent faire les responsables privacy et sécurité dès maintenant

Première étape : cartographiez tous les flux de données franchissant une frontière juridique et attribuez-leur une base légale. Le rapport sur la souveraineté des données de Kiteworks a révélé qu’une organisation sur trois a connu un incident de souveraineté l’an dernier — le plus souvent par manque de visibilité sur le lieu réel de traitement des données.

Deuxième étape : unifiez votre infrastructure de journalisation. Des logs fragmentés entre e-mails, partage de fichiers, MFT et outils IA créent exactement le type de faille de preuve exploité par les régulateurs. Le rapport prévisionnel de Kiteworks indique que 33 % des organisations n’ont aucune piste d’audit et que 61 % disposent de logs fragmentés inexploitables.

Troisième étape : mettez en place un cadre de gouvernance distinct pour les données d’entraînement IA — incluant la limitation de finalité, la traçabilité de la provenance et des mécanismes de suppression. Avec 78 % des organisations incapables de valider les données entrant dans les pipelines d’entraînement, c’est la faille de conformité la plus susceptible de déclencher des sanctions en 2026.

Quatrième étape : opérationnalisez la Privacy by Design comme exigence d’architecture, et non comme simple déclaration de politique. Intégrez les analyses d’impact privacy dans les revues de conception système et imposez le chiffrement, le contrôle d’accès et la pseudonymisation comme configurations par défaut.

Cinquième étape : regroupez vos outils d’échange de données sur une plateforme unifiée. L’analyse de VantagePoint, le rapport ISACA State of Privacy et le rapport prévisionnel de Kiteworks aboutissent tous à la même conclusion : les organisations qui utilisent cinq à dix outils déconnectés pour l’échange de données sensibles ne peuvent pas assurer la privacy, la sécurité ou la conformité dans un environnement à 20 lois étatiques, à l’international et sous régulation IA.

Les organisations qui feront de 2026 l’année de l’unification de la gouvernance des données — privacy, sécurité, IA et conformité — transformeront la pression réglementaire en résilience opérationnelle. Les autres continueront d’embaucher des avocats.