Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > RGPD : Dix ans plus tard, la décennie de l’IA mettra les règles à l’épreuve

RGPD : Dix ans plus tard, la décennie de l’IA mettra les règles à l’épreuve

par Danielle Barbour updated mai 26, 2026 Conformité RGPD
temps de lecture: 9 minutes

5 points clés à retenir

  1. La première décennie du RGPD a été celle de la donnée au repos. Inventaires, RoPA, notifications de violation, DPIA. La décennie à venir sera celle de la donnée en mouvement : prompts, corpus d’entraînement, poids de modèles, actions d’agents.
  2. L’application du RGPD au premier trimestre 2026 était déjà stricte avant même l’arrivée des dossiers liés à l’IA. 68,18 millions d’euros d’amendes en trois mois, avec la France et le Royaume-Uni en tête. La tendance est à la hausse, pas à la stagnation.
  3. Free Mobile donne le ton. Une amende de 27 millions d’euros infligée par la CNIL en janvier 2026 pour une authentification VPN insuffisante, une détection d’anomalies défaillante et une conservation excessive des données d’anciens abonnés. Ce sont des défaillances opérationnelles, pas des erreurs de politique.
  4. L’EDPB a déjà identifié le problème de l’IA. Les modèles d’IA entraînés sur des données personnelles ne peuvent pas, dans tous les cas, être considérés comme anonymes. Cette seule phrase rebat les cartes de la charge de la preuve pour chaque modèle qui traite des données de l’UE.
  5. La réponse architecturale se situe au niveau de la donnée. Les contrats et politiques ne peuvent pas garantir la souveraineté, la conservation ou les limites de traitement de l’IA. Seule l’architecture le peut — et seule l’architecture tiendra face à la prochaine décennie d’application du RGPD.

L’anniversaire que personne ne devrait encore célébrer

Cette année marque les dix ans de l’adoption par l’Union européenne du Règlement Général sur la Protection des Données. Il est entré en vigueur dans toute l’UE le 25 mai 2018, et depuis, il a profondément transformé tous les programmes de protection des données du continent, et la plupart de ceux en dehors. Selon un article de CSO Online, le bilan est mitigé : le règlement a permis d’harmoniser les règles, de relever le niveau de protection des données et d’exporter un modèle mondial, mais il n’a pas encore tenu la promesse de donner aux individus un contrôle réel sur leurs données personnelles.

Le problème le plus complexe, c’est que le monde pour lequel le RGPD a été rédigé n’existe plus. Les rédacteurs, en 2016, pensaient aux bandeaux cookies, aux traceurs tiers et au profilage des consommateurs. Ils n’avaient pas anticipé la génération augmentée par la recherche, les agents autonomes d’IA, les modèles de fondation entraînés sur le web ouvert, ni les prompts qui traversent trois juridictions avant de fournir une réponse.

Les dix prochaines années d’application du RGPD dépendront de la façon dont les régulateurs appliqueront un cadre de 2016 à la technologie de 2026. Les premiers signaux ne sont pas rassurants pour les organisations qui ont traité la conformité comme un simple exercice documentaire.

Le premier trimestre 2026 montre déjà la tendance de l’application du RGPD

Les trois premiers mois de 2026 ont généré 68,18 millions d’euros d’amendes RGPD cumulées, selon les données de la plateforme financière Finbold. La France et le Royaume-Uni sont en tête du classement. Cela représente environ 757 600 euros par jour rien que sur le premier trimestre.

L’événement marquant a eu lieu le 13 janvier 2026, lorsque la CNIL a infligé 42 millions d’euros d’amendes à Free Mobile (27 millions d’euros) et à sa maison mère Free SAS (15 millions d’euros) pour la violation d’octobre 2024 qui a exposé les données personnelles de 24 millions de contrats d’abonnés, dont des IBAN. La CNIL a identifié trois violations distinctes du RGPD : authentification VPN faible et détection d’anomalies insuffisante (article 32), notification de violation incomplète (article 34) et conservation excessive des données d’anciens abonnés (article 5(1)(e)).

La décision Free Mobile est instructive car les violations ne sont pas exotiques. L’entreprise utilisait un VPN avec une authentification insuffisante, une télémétrie de sécurité qui n’a pas détecté une violation active, et un processus de conservation des données qui a laissé plus de 15 millions de contrats résiliés depuis plus de cinq ans dans les systèmes de production — dont 3 millions résiliés depuis plus de dix ans. Aucune de ces failles n’a nécessité de recherche d’attaque innovante pour être identifiée. Il s’agissait de lacunes d’hygiène opérationnelle qui ont abouti à une sanction de 27 millions d’euros.

Voilà la posture d’application à laquelle les organisations doivent s’attendre pour la décennie à venir. La CNIL n’a pas sanctionné l’entreprise pour une case manquante sur un document de politique. Elle l’a sanctionnée pour l’écart entre ce que disait la politique et ce que l’architecture faisait réellement.

L’EDPB a déjà redéfini la question de l’IA

Pendant que la CNIL instruisait le dossier Free Mobile, le Comité européen de la protection des données répondait à la question qui va marquer la deuxième décennie du RGPD. Le 17 décembre 2024, l’EDPB a adopté l’Avis 28/2024 sur les modèles d’IA et les données personnelles, suite à une demande de la Data Protection Commission irlandaise.

La conclusion la plus importante de cet avis tient en une phrase : les modèles d’IA entraînés avec des données personnelles ne peuvent pas, dans tous les cas, être considérés comme anonymes. Cela remet en cause l’idée commode selon laquelle un modèle entraîné serait mathématiquement séparé de ses données d’entraînement. L’EDPB estime que l’anonymat doit être évalué au cas par cas, en tenant compte des risques d’extraction directe et probabiliste, avec une charge de la preuve élevée pour le responsable de traitement.

La conséquence est structurelle. Si un modèle entraîné sur des données personnelles de l’UE n’est pas automatiquement anonyme, alors tout responsable de traitement qui le déploie traite des données personnelles au sens du RGPD. Cela déclenche l’application des principes de l’article 5, des exigences de base légale de l’article 6, de la protection des données dès la conception (article 25), des obligations de sécurité (article 32) et des DPIA (article 35) — pour le modèle lui-même et pour chaque usage ultérieur.

Pour les organisations qui ont bâti leur stratégie IA sur l’idée que les résultats des modèles ne sont pas régulés, l’EDPB vient d’étendre le périmètre réglementaire à tous les usages du modèle. Ce périmètre n’est pas optionnel. C’est le minimum requis.

Pourquoi les programmes de conformité conçus pour 2018 ne suffiront pas pour la prochaine décennie

Les programmes de conformité mis en place pour être conformes au RGPD en 2018 étaient pensés pour un monde où les données personnelles étaient stockées dans des bases de données, circulaient dans des flux documentés et étaient protégées par des contrôles d’accès appliqués aux systèmes. Inventaires, registres des activités de traitement, analyses d’impact, procédures de notification de violation — tout l’arsenal de conformité supposait que la donnée personnelle avait un emplacement connu, une finalité connue et un ensemble de destinataires connu.

Cette hypothèse n’est plus valable. Le rapport Kiteworks Data Security and Compliance Risk : Prévisions 2026 révèle que seulement 36 % des organisations ont une visibilité sur la gestion des données par leurs partenaires dans les systèmes basés sur l’IA, et 30 % considèrent la gestion des fournisseurs IA tiers comme un enjeu de sécurité majeur. Seules 43 % disposent d’une passerelle centralisée pour les données IA — ce qui signifie que 57 % font tourner des IA agentiques avec des contrôles fragmentés, ad hoc ou partiels.

On retrouve la même tendance sur la souveraineté des données. Le rapport Kiteworks 2026 Data Security and Compliance Risk : Data Sovereignty in Europe indique que 32 % des répondants européens ont connu un incident lié à la souveraineté au cours des 12 derniers mois et 44 % citent les garanties de souveraineté des fournisseurs comme un frein à l’adoption de solutions cloud européennes — le taux le plus élevé de toutes les régions. La sensibilisation réglementaire est forte en Europe : 80 % se disent « bien » ou « très bien » informés. Mais le taux d’incident prouve que la sensibilisation ne suffit pas à garantir le contrôle.

Les données du secteur montrent l’écart entre conformité déclarée et contrôle effectif. C’est cet écart que la prochaine décennie d’application du RGPD va combler — par des amendes, des audits, des contentieux. Les organisations qui auront comblé cet écart avant l’arrivée des régulateurs s’en sortiront. Celles qui s’appuient encore sur des contrats et des politiques ne s’en sortiront pas.

Ce que la décennie de l’IA exige vraiment

Les rédacteurs du RGPD ont bâti le règlement autour de six principes à l’article 5 : licéité, loyauté, transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité. L’article 5(2) en ajoute un septième — la responsabilité — qui impose aux responsables de traitement de pouvoir prouver leur conformité, pas seulement de l’affirmer.

Chacun de ces principes est plus difficile à respecter quand la donnée circule dans un système d’IA plutôt que d’être stockée dans une base de données. La limitation des finalités échoue lorsqu’un modèle entraîné pour une finalité peut être réutilisé sans réentraînement. La minimisation des données échoue quand la génération augmentée par la recherche extrait plus de contexte que nécessaire. La limitation de la conservation échoue quand le fine-tuning intègre des données personnelles dans des poids de modèles sans date d’expiration. La responsabilité échoue quand le modèle est remplacé et que la traçabilité disparaît avec lui.

Les chiffres du secteur illustrent la réalité opérationnelle. La majorité des organisations ne peuvent pas imposer de limitation des finalités aux agents IA. La plupart ne peuvent pas désactiver rapidement un agent défaillant. La plupart ne peuvent pas isoler les systèmes IA du reste du réseau. La plupart ne peuvent pas valider les entrées IA. Chacune de ces lacunes est une future constatation d’article 5 en attente d’être rédigée.

La prochaine décennie d’application du RGPD ne portera pas sur l’existence d’une politique de confidentialité. Elle portera sur la capacité de l’architecture à prouver que la politique a été appliquée. Cette preuve doit exister sous la couche du modèle, sous la couche du prompt, sous le framework d’agents — car chaque couche au-dessus de la donnée peut être mise à jour, remplacée ou compromise, effaçant ainsi les preuves.

La réponse architecturale se situe au niveau de la donnée

Le modèle architectural qui survivra à la prochaine décennie d’application du RGPD, c’est la gouvernance au niveau de la donnée, indépendante du modèle et du runtime. Chaque accès à des données personnelles est authentifié par rapport à l’utilisateur humain pour lequel l’agent agit. Chaque décision d’autorisation est évaluée selon des politiques basées sur les attributs, respectant la classification, la juridiction et le consentement. Chaque opération génère un journal d’audit infalsifiable qui survit au modèle à l’origine de l’action.

C’est ce schéma qu’ont adopté des plateformes comme Kiteworks. Le Réseau de données privé Kiteworks regroupe la messagerie électronique, le partage et le transfert de fichiers, SFTP et formulaires de données dans une plateforme zéro trust unique où chaque fichier est contrôlé, tracé et protégé tout au long de son cycle de vie. Des journaux d’audit centralisés et immuables et un reporting automatisé de conformité — avec des modèles préconfigurés pour le RGPD, NIS 2, DORA, etc. — fournissent les preuves exportables exigées par les régulateurs et les clients. Le Kiteworks Secure MCP Server et Kiteworks Compliant AI étendent cette gouvernance à l’IA — permettant aux applications LLM et aux pipelines RAG d’accéder aux données d’entreprise via une authentification OAuth 2.0 et le Data Policy Engine de Kiteworks, avec journalisation de chaque opération IA.

L’argument architectural n’est pas qu’une plateforme unique résout la conformité RGPD. C’est que les contrôles exigés par les articles 5 et 32 — limitation des finalités, minimisation des données, sécurité, responsabilité, toutes démontrables — ne peuvent être appliqués qu’à l’endroit où résident les données. Tout ce qui se situe au-dessus n’est qu’une déclaration de politique. Ce qui se situe en dessous constitue la preuve attendue par le régulateur.

Les organisations qui combleront l’écart entre conformité déclarée et contrôle effectif passeront le prochain audit. Les autres deviendront les exemples cités lors du prochain anniversaire.

Ce que les programmes de conformité doivent faire avant le prochain anniversaire

  1. Commencez par actualiser chaque RoPA et DPIA pour y inclure le traitement de l’IA comme activité à part entière. Les registres d’activités de traitement (article 30) et les analyses d’impact (article 35) n’ont pas été conçus pour prendre en compte les corpus d’entraînement, les logs de prompts, la récupération RAG ou les chaînes d’actions d’agents. Il faut le faire. Si la plupart des organisations ne peuvent pas limiter les finalités des agents IA, c’est parce que l’IA n’a jamais été correctement inventoriée comme activité de traitement.

  2. Puis, auditez la conservation sur tous les systèmes contenant des données personnelles. L’affaire Free Mobile a montré que la limitation de la conservation (article 5(1)(e)) est désormais une cible prioritaire d’application, et non plus secondaire. Les chiffres du secteur montrent que les organisations investissent davantage dans la surveillance de l’IA que dans sa maîtrise — la surveillance continue dépasse l’adoption du kill-switch de près de 20 points. Le risque lié à la conservation n’est pas théorique ; il est bien présent dans les systèmes de production.

  3. Ensuite, considérez l’Avis 28/2024 de l’EDPB comme un socle non négociable. Tout déploiement IA traitant des données personnelles de l’UE doit faire l’objet d’une évaluation documentée sur le caractère anonyme ou non du modèle, sur l’analyse de l’intérêt légitime et sur la gestion d’un éventuel traitement illicite des données d’entraînement. La plupart des organisations ne peuvent pas produire cette documentation à la demande car elles n’ont pas de passerelle centralisée pour les données IA — la base architecturale qui rend cette documentation possible.

  4. Quatrièmement, faites descendre l’application des politiques au niveau de la donnée. Les contrôles d’identité, les garde-fous à l’exécution et les prompts système sont nécessaires mais insuffisants au regard du principe de responsabilité du RGPD. L’autorisation d’accès IA aux données personnelles doit résider là où résident les données, avec des contrôles basés sur les attributs et un audit infalsifiable. Le manque de visibilité sur la gestion des données par les partenaires dans les systèmes IA reste une lacune majeure du secteur, et c’est précisément ce qui rend impossible la démonstration de conformité de l’article 28 lors d’un audit rigoureux.

  5. Enfin, préparez-vous à un examen accru des transferts transfrontaliers qui ne va pas s’alléger. Les fournisseurs IA aggravent ce risque : un prompt envoyé à un fournisseur IA cloud peut être traité dans une autre juridiction, servir à affiner des modèles hébergés ailleurs, ou générer des résultats qui traversent plusieurs frontières avant de revenir. L’arrêt Schrems II a tranché la question juridique ; c’est à l’architecture de trancher la question opérationnelle.

La première décennie du RGPD était une répétition générale. La suivante, c’est la représentation.

Foire aux questions

Concentrez-vous sur l’écart entre conformité déclarée et contrôle effectif. Le rapport Kiteworks Data Security and Compliance Risk : Prévisions 2026 indique que seulement 43 % des organisations disposent d’une passerelle centralisée pour les données IA — la base architecturale attendue par les auditeurs. Actualisez les RoPA et DPIA pour inclure le traitement IA, auditez la conservation au regard de l’article 5(1)(e) et documentez l’alignement avec l’Avis 28/2024 de l’EDPB pour chaque modèle traitant des données personnelles de l’UE.

Oui. La CNIL a appliqué les articles 32, 34 et 5(1)(e) du RGPD à des défaillances opérationnelles précises — authentification VPN faible, détection d’anomalies manquée, conservation excessive — qui sont courantes chez les organisations américaines opérant dans l’UE. Environ un tiers des répondants européens ont connu un incident lié à la souveraineté au cours des 12 derniers mois, et ce type de lacunes opérationnelles figure parmi les causes principales. La norme d’application concerne tout responsable de traitement de données de résidents de l’UE, quel que soit le siège social.

L’Avis 28/2024 de l’EDPB a établi que les modèles d’IA entraînés sur des données personnelles ne peuvent pas, dans tous les cas, être considérés comme anonymes, ce qui signifie que tout déploiement RAG traitant des données de l’UE relève du RGPD. La plupart des organisations ne peuvent pas aujourd’hui limiter les finalités des agents IA — un contrôle exigé par l’article 5(1)(b) du RGPD. Documentez la base légale au titre de l’article 6, réalisez une DPIA selon l’article 35 et appliquez la limitation des finalités au niveau de la donnée.

Les clauses contractuelles types restent un mécanisme de transfert valide mais deviennent de moins en moins suffisantes à elles seules. Le rapport Kiteworks 2026 Data Security and Compliance Risk : Data Sovereignty in Europe montre que 44 % des répondants européens citent les garanties de souveraineté des fournisseurs comme un frein — le taux le plus élevé parmi toutes les régions. L’arrêt Schrems II impose des mesures techniques complémentaires en plus des contrats. Les contrôles au niveau de l’architecture sur le lieu de traitement, la gestion des clés et les accès font désormais partie d’une posture défendable.

Trois priorités. Inventoriez chaque activité de traitement IA comme une entrée à part entière dans le RoPA, avec une base légale documentée et un alignement avec l’Avis 28/2024 de l’EDPB. Faites descendre l’application des politiques au niveau de la donnée — la plupart des organisations ne peuvent pas aujourd’hui désactiver rapidement un agent IA défaillant, alors que c’est le type de preuve de maîtrise que les régulateurs exigent de plus en plus. Préparez des dossiers de preuves prêts pour l’audit sur les obligations des articles 5, 32 et 35 dans tout le périmètre IA.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks